"验证返回码:21(无法验证第一张证书)"

Question

"验证返回码:21(无法验证第一张证书)"

我在openssl抱怨无法验证本地颁发的证书时遇到麻烦,我也有CA链.除了LOCAL CA Chain Cert(CER,PEM,CRT)之外,我还拥有本地颁发的(PEM和CRT)证书.根和颁发者是同一台服务器.比较两个证书上的文本,两者都匹配"issuer:"字段.这是redhat Linux服务器.我收到错误"验证错误:num = 20:无法获得本地颁发者证书"和"验证返回码:21(无法验证第一个证书)"

我不知道该找什么.任何反馈都表示赞赏.

谢谢

乔恩

故障排除步骤

我确实使用cerutil certutil -d/etc/pki/nssdb -A -t"C ,,"-n DomainA1-Server1CA -i /root/DomainA1-Server1CA.cer将Issuer CA证书添加到linux证书

-Ran certutil -d/etc/pki/nssdb -L我可以在那里看到证书

   Certificate Nickname   Trust Attributes 
                          SSL,S/MIME,JAR/XPI 
   DomainA1-Server1CA     C,,

Run Code Online (Sandbox Code Playgroud)

Ran openssl s_client -connect ServerA2:443 -CAfile /root/certs/DomainA1-Server1CA.cer,tried with(.CRT and .PEM),上面有2个错误.-Ran openssl s_client -connect ServerA2:443 -CApath/root/certs,尝试使用(.CRT和.PEM),上面有2个错误.
跑openssl s_client -connect ServerA2:443.上面有2个错误.

颁发了Cert片段

    Data:
    Version: 3 (0x2)
    Serial Number:
    54:a9:50:a3:00:01:00:00:14:47
    Signature Algorithm: sha1WithRSAEncryption
    Issuer: DC=com, DC=domainA1, CN=DomainA1-Server1CA
    Validity
    Not Before: April  5 16:45:48 2017 GMT
    Not After : April  5 16:45:48 2019 GMT
    Subject: C=US, ST=NY, L=CityA, O=CompanyNAME, OU=IT,
    CN=ServerB1.DomainA1.com

Run Code Online (Sandbox Code Playgroud)

CA Chain Cert

    Data: Version: 3 (0x2) 
    Serial Number: 19:11:eb:af:4c:d5:a9:94:49:ka:2f:41:f2:e1:09:g2 
    Signature Algorithm: sha256WithRSAEncryption 
    Issuer: DC=com, DC=domainA1, CN=DomainA1-Server1CA 
    Validity 
    Not Before: Aug 15 18:41:45 2015 GMT 
    Not After : Aug 15 18:41:45 2025 GMT Subject: DC=com, DC=domainA1,                 
    CN=DomainA1-Server1CA Subject Public Key Info: 
    Public Key Algorithm: rsaEncryption Public-Key: (2048 bit)

        ...C.A
    X509v3 Key Usage:
        Digital Signature, Certificate Sign, CRL Sign
    X509v3 Basic Constraints: critical
        CA:TRUE
    X509v3 Subject Key Identifier:

Run Code Online (Sandbox Code Playgroud)

Answer 1

Dee*_*ube -1

在服务器上启用 SSL 证书后。

您可以通过以下命令进行测试。

$ openssl s_client -connect <server name>:443

Run Code Online (Sandbox Code Playgroud)

输出：

CONNECTED(00000003)
depth=0 OU = Domain Control Validated, CN = <server-name>
verify error:num=20:unable to get local issuer certificate
verify return:1
-----------
-----------
 Start Time: 1492427495

    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---

Run Code Online (Sandbox Code Playgroud)

如果出现上述错误（返回代码：20..或返回代码 21）

在/etc/apache2/site-available/default-ssl.conf文件中添加以下行

SSLCertificateFile      /home/ubuntu/cert/e4720ca1b42c1ebb.crt
SSLCertificateKeyFile /home/ubuntu/cert/server.key

SSLCertificateChainFile /home/ubuntu/cert/gd_bundle-g2-g1.crt

Run Code Online (Sandbox Code Playgroud)

再次运行

$ openssl s_client -connect <server name>:443

Run Code Online (Sandbox Code Playgroud)

例子：$ openssl s_client -connect google.com:443

输出：

CONNECTED(00000003)
depth=3 C = US, O = Equifax, OU = Equifax Secure Certificate Authority
verify return:1
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify return:1
depth=1 C = US, O = Google Inc, CN = Google Internet Authority G2
verify return:1
------------
------------
Start Time: 1492431152
Timeout   : 300 (sec)
Verify return code: 0 (ok)

Run Code Online (Sandbox Code Playgroud)

如果仍然出现错误，您应该重新生成SSL KEY和附加服务器

注意：Apache 服务器配置。

希望它能解决问题:)

什么是“e4720ca1b42c1ebb.crt”以及为什么要添加到此位置？ (2认同)

归档时间：	8 年，10 月前
查看次数：	22100 次
最近记录：	7 年，11 月前