1. Trang chủ
  2. Câu hỏi và trả lời
  3. openssl verify - error 20 at 0 depth lookup: không thể lấy chứng chỉ của tổ chức phát hành địa phương

openssl verify - error 20 at 0 depth lookup: không thể lấy chứng chỉ của tổ chức phát hành địa phương

2013-04-26 30 views
19

tôi đã tạo chứng chỉ PEM từ chứng chỉ PFX và muốn xác minh nó. Tuy nhiên tôi chạy vào vấn đề này, cố gắng tìm một số câu trả lời, nhưng tôi didnt và do đó tôi không biết làm thế nào để sửa chữa nó. bạn có thể xin lời khuyên không? cảm ơn bạn rất nhiều.openssl verify - error 20 at 0 depth lookup: không thể lấy chứng chỉ của tổ chức phát hành địa phương

C:\OpenSSL-Win32\bin>set OPENSSL_CONF=C:\OpenSSL-Win32\bin\openssl.cfg 

C:\OpenSSL-Win32\bin>openssl 
OpenSSL> verify C:\mycert.pem 
C:\mycert.pem: C = CZ, ST = Sprava zakladnich registru, L = "Obec=Praha,Ulice=Na Vapence,PSC=13000", O = 72054506, OU = 4333, CN = tstcawilly.szr.local 
error 20 at 0 depth lookup:unable to get local issuer certificate 
error in verify 
OpenSSL> 
OpenSSL> verify -CAfile C:\mycert.pem C:\mycert.pem 
C:\mycert.pem: C = CZ, ST = Sprava zakladnich registru, L = "Obec=Praha,Ulice=Na Vapence,PSC=13000", O = 72054506, OU = 4333, CN = tstcawilly.szr.local 
error 20 at 0 depth lookup:unable to get local issuer certificate 
error in verify 
OpenSSL>

Nguồn

2013-04-26 spaghi

+0

Cùng một vấn đề ở đây với chứng chỉ mới được cấp cho chúng tôi và được cài đặt trên máy chủ tomcat. –

Trả lời

14

OpenSSL> xác minh -CAfile C: \ mycert.pem C: \ mycert.pem

Close. Bạn cần thêm chứng chỉ gốc của CA với -CAfile; chứ không phải chứng chỉ tổ chức cuối cùng của bạn. Một cái gì đó như:

openssl verify -CAfile C:\ca-cert.pem C:\mycert.pem

Ngoài ra, nếu có chứng chỉ trung gian, bạn cần phải thêm chứng chỉ đó vào mycert.pem. Vì vậy, mycert.pem sẽ thực sự có hai (hoặc nhiều) chứng chỉ (thay vì một).

Thêm tất cả chứng chỉ bắt buộc vào mycert.pem trong nỗ lực xây dựng chuỗi hợp lệ giải quyết sự cố "which directory". Một vấn đề nổi tiếng của nó trong PKI. Về cơ bản, một khách hàng (như tôi) không biết đi đâu để có được chứng chỉ trung gian bị thiếu.

Nguồn

2014-04-21 04:26:21 jww

+0

Trong trường hợp chứng chỉ tự ký, không phải là chứng chỉ tự ký cả chứng chỉ CA và chứng chỉ tổ chức? –

+0

@WilburWhateley - Không. Các ràng buộc cơ bản và 'CA: FALSE' phải được đặt. Không thể đặt 'CA: TRUE'. Nếu thuộc tính CA là true, chứng chỉ thực thể cuối có thể kết hợp các chứng chỉ khác. – jww

+1

Vì vậy, không thể tự ký? Không rõ ràng. Bởi vì chỉ có một chứng chỉ trong trường hợp này, phải không? Vì vậy, một ký tự không thể là một CA, và không có một CA, bạn không thể xác minh ... Có cái gì tôi đang mất tích, hoặc đây thường là một thiết kế xấu cho SSL. –

Các vấn đề liên quan

 Các vấn đề liên quan