OpenSSL:创建 CA 文件

tag-icon tag-icon openssl ssl
OpenSSL:创建 CA 文件

我有一个 X.509 证书mycert.pem和一个私钥mykey.pem

此外,证书还有根证书和中间证书来构建完整的链。

我必须将 root-certroot.pem和 interterm-cert添加interm.pem/etc/ssl/certscorrekt 哈希链接中​​,以使 openssl 验证证书正常。

mycert.pem: OK

现在我尝试使用 openssl s_client。

我在服务器端收到错误,因为我设置了 -key 和 -cert 但没有设置-CAfile

openssl s_client -connect my.host.org:433 -cert mycert.pem -key mykey.pem

我对此不太确定。我如何创建文件-CAfile

我尝试设置-CApath /etc/ssl/certs而不是-CAfile,但没有帮助。

答案1

您应该尝试使用该update-ca-trust实用程序,它将读取内容/etc/pki/ca-trust/extracted并将新的根 CA 和中间 CA 添加到 /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt。

答案2

您的服务器发送证书链还是仅发送叶证书?使用-showcerts选项来查看。如果只发送叶证书,那么它不会连接该证书发送到 /etc/ssl/certs 中的根 CA,因为中间体不是根且不受信任。

相关内容