答案1
为了验证证书,它必须一直链接到信任锚。openssl
检查此信任锚是否有keyUsage
扩展。如果存在,则必须keyCertSign
至少包含。事实证明,如果此扩展存在但不包含,keyCertSign
它将返回错误 21。
此外,您的客户端 ( openssl s_client
) 必须知道要使用哪个证书作为信任锚。您可以使用以下选项配置openssl
使用其他信任锚:-CAfile
openssl s_client -CAfile <your cert file> -connect api.dev.thetripguru.com:443