Pad*_*lin 2 ssl authentication ssl-certificate certificate-authority
我正在使用的服务正在刷新他们的 SSL 证书,现在我与他们服务的连接失败了。他们在更改之前工作(如更改前 1 小时)。
他们的新旧服务器证书应该由 Verisign 签名。如何手动验证证书?
通过openssl x509工具运行它会自动执行吗?
使用openssl s_client连接到他们的服务器,我可以看到他们在 SSL 握手期间发送的证书。通过带有-text选项的 x509 工具运行它,我得到以下发行者行:
Issuer: C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at https://www.verisign.com/rpa (c)10, CN=VeriSign Class 3 International Server CA - G3
并且该Subject: CN=值与我要连接的主机名匹配。
我在与 s_client 连接时收到的投诉是(我省略了主题行,以免命名服务):
verify error:num=20:unable to get local issuer certificate
verify return:1
verify error:num=27:certificate not trusted
verify return:1
verify error:num=21:unable to verify the first certificate
verify return:1
谁能告诉我如何找出我的工具不信任此证书的原因?
我倾向于使用curl -Iv https://www.example.com. curl 将转储出相关的 SSL 位(并将使用它手头的 CA 列表)。
如果您需要手动执行更多操作,您可以openssl verify使用正确的选项运行,特别是 -CApath 选项:
$ openssl verify --help
usage: verify [-verbose] [-CApath path] [-CAfile file] [-purpose purpose] [-crl_check] [-engine e] cert1 cert2 ...
我对您的问题的猜测是服务器没有发布中间证书包。查看https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR657(或者,更具体地说,威瑞信关于如何安装证书的电子邮件说明)。
| 归档时间: |
|
| 查看次数: |
6165 次 |
| 最近记录: |