我正在使用的服务正在刷新他们的 SSL 证书,现在我与他们服务的连接失败了。他们在更改之前工作(如更改前 1 小时)。
他们的新旧服务器证书应该由 Verisign 签名。如何手动验证证书?
通过openssl x509工具运行它会自动执行吗?
使用openssl s_client连接到他们的服务器,我可以看到他们在 SSL 握手期间发送的证书。通过带有-text选项的 x509 工具运行它,我得到以下发行者行:
Issuer: C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=Terms of use at https://www.verisign.com/rpa (c)10, CN=VeriSign Class 3 International Server CA - G3
并且该Subject: CN=值与我要连接的主机名匹配。
我在与 s_client 连接时收到的投诉是(我省略了主题行,以免命名服务):
verify error:num=20:unable to get local issuer certificate
verify return:1
verify error:num=27:certificate not trusted
verify return:1
verify error:num=21:unable to verify the first certificate
verify return:1
谁能告诉我如何找出我的工具不信任此证书的原因?