我有一个 X.509 证书mycert.pem
和一个私钥mykey.pem
。
此外,证书还有根证书和中间证书来构建完整的链。
我必须将 root-certroot.pem
和 interterm-cert添加interm.pem
到/etc/ssl/certs
correkt 哈希链接中,以使 openssl 验证证书正常。
mycert.pem: OK
现在我尝试使用 openssl s_client。
我在服务器端收到错误,因为我设置了 -key 和 -cert 但没有设置-CAfile
。
openssl s_client -connect my.host.org:433 -cert mycert.pem -key mykey.pem
我对此不太确定。我如何创建文件-CAfile
?
我尝试设置-CApath /etc/ssl/certs
而不是-CAfile
,但没有帮助。
答案1
您应该尝试使用该update-ca-trust
实用程序,它将读取内容/etc/pki/ca-trust/extracted
并将新的根 CA 和中间 CA 添加到 /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt。
答案2
您的服务器发送证书链还是仅发送叶证书?使用-showcerts
选项来查看。如果只发送叶证书,那么它不会连接该证书是发送到 /etc/ssl/certs 中的根 CA,因为中间体不是根且不受信任。