Блог

Я использую openssl версии 0.9.8 r и попытался запустить эту команду (с именем файла CA как cacert.pem в каталоге, в котором я запускался).

openssl s_client -CAfile cacert.pem -CApath ./ -connect mail.google.com:443

И проверка завершилась неудачей следующим образом

Verify return code: 20 (unable to get local issuer certificate)

Однако, когда я попробовал ту же команду в одной из более старых версий, а именно OpenSSL 0.9.8e-fips-rhel5, она прошла успешно, как и ожидалось. Я что-то здесь упускаю? Я был бы очень признателен за любую помощь, которую я могу получить, поскольку я уже некоторое время сталкиваюсь с проблемами openssl. Заранее большое спасибо.

С уважением

Хари

Со страницы проверки OpenSSL

20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY: не удается получить сертификат локального эмитента

не удалось найти сертификат эмитента: это происходит, если сертификат эмитента ненадежного сертификата не может быть найден.

Как вы можете догадаться, это означает, что CA не удалось загрузить или подтвердить. Это может быть вызвано любым количеством причин, но вот хороший контрольный список.

• Разрешения. В Linux попробуйте sudo. В Windows попробуйте «Запуск от имени администратора».

• Попробуйте использовать команду verify с обеими версиями и посмотрите, получите ли вы одинаковую ошибку.

  openssl verify -CAfile cacert.pem -CApath ./

• Отсутствующие / неуместно размещенные файлы. Возможно, что-то изменилось в этой папке с момента вашего запуска.

• Путь. Попробуйте запустить команду из того же каталога, в котором вы находились при запуске команды из OpenSSL 0.9.8e-fips-rhel5.

Это скорее ошибка, чем функция, но это функция до тех пор, пока мы ее документируем 😉

 c_rehash /etc/ssl/certs