看来 GlobalSign 的 R1 根证书不在 CentOS 7.3 中的默认信任 CA 中。
我检查了受信任的 CA 列表,如下所示:
awk -v cmd='openssl x509 -noout -subject' '
/BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-bundle.crt
以下是 GlobalSign 根证书的列表: https://support.globalsign.com/customer/portal/articles/1426602-globalsign-root-certificates
R1 未出现在该列表中,原因何在?
答案1
R1 根在生成时实际上并未命名为“R1”。其实际主题名称是:
CN=GlobalSign Root CA, OU=Root CA, O=GlobalSign nv-sa, C=BE
旧词根通常没有编号,因为当时没有人认为它们需要多于一个根〜未来20年。