OpenSSL: lỗi "tự ký giấy chứng nhận trong chuỗi chứng chỉ"

Question

Khi tôi sử dụng API openssl để xác nhận chứng chỉ máy chủ (tự ký), tôi đã lỗi sau:

lỗi 19 tại tra cứu 1 chiều sâu: tự ký giấy chứng nhận trong giấy chứng nhận chuỗi

Theo openssl documentation, điều này lỗi (19) là

"X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN: tự Signe Chứng chỉ d trong chuỗi chứng chỉ - chuỗi chứng chỉ có thể được tạo bằng cách sử dụng các chứng chỉ không đáng tin cậy nhưng không thể tìm thấy thư mục gốc tại địa phương. "

Tại sao lỗi này xảy ra? Có vấn đề gì với chứng chỉ máy chủ của tôi không?

Answer 1

Bạn có chứng chỉ tự ký, do đó, theo mặc định, không đáng tin cậy là lý do OpenSSL khiếu nại. Cảnh báo này thực sự là một điều tốt, vì kịch bản này cũng có thể tăng lên do một số man-in-the-middle attack.

Để giải quyết vấn đề này, bạn sẽ cần cài đặt nó làm máy chủ đáng tin cậy. Nếu nó được ký bởi một CA không đáng tin cậy, bạn cũng sẽ phải cài đặt chứng chỉ CA đó.

Hãy xem this link về cách cài đặt chứng chỉ tự ký.

Answer 2

Dưới đây là một-liner để xác minh chuỗi chứng chỉ:

openssl verify -verbose -x509_strict -CAfile ca.pem cert_chain.pem

này không đòi hỏi phải cài đặt CA bất cứ nơi nào.

Xem How does an SSL certificate chain bundle work? để biết chi tiết.