我已经创建了 3 个证书
- root.pem:自签名根 CA
- middle.pem:由根 CA 签名的中级 CA
- user.pem:由中级 CA 签名的用户证书
我想通过发出以下命令来验证链是否正常:
openssl verify -CAfile root.pem -untrusted intermediate.pem user.pem
但我明白:
user.pem: C = US, ST = Virginia, L = Dulles, O = Corp., OU = TEST, CN = User Cert
error 20 at 0 depth lookup:unable to get local issuer certificate
然而这是有效的:
openssl verify -CAfile root.pem intermediate.pem
中间.pem:确定
答案1
我要回答我自己的问题:
我错误地创建了中级 CA 证书,从 CSR 创建证书时,我没有在 -extfile 中输入正确的配置(缺少 CA:TRUE 和 certSign 标志)
重新创建中级和用户证书后,命令显示“OK”