Verifique o código de retorno: 21 (não é possível verificar o primeiro certificado)

Navegue suas respostas
2

Estou tendo problemas com o OpenSSL reclamando sobre a impossibilidade de validar o certificado emitido localmente, onde também tenho a cadeia CA. Eu tenho o certificado emitido localmente (PEM e CRT) além do certificado de cadeia CA local (CER, PEM, CRT). A raiz e o emissor são o mesmo servidor. Comparando o texto em ambos os certs, ambos correspondem ao campo "issuer:" em ambos. Este é o servidor RedHat Linux.

Estou recebendo o erro "verify error: num = 20: não é possível obter o certificado do emissor local" e "Verificar código de retorno: 21 (impossível verificar o primeiro certificado)".

Não sei mais o que procurar.

Etapas de solução de problemas

  • Eu adicionei o certificado CA do Emissor a certificados do Linux usando cerutil certutil -d /etc/pki/nssdb -A -t "C,," -n DomainA1-Server1CA -i /root/DomainA1-Server1CA.cer

  • Ran certutil -d /etc/pki/nssdb -L e posso ver o certificado lá:

    Atributos de confiança do apelido do certificado                           SSL, S / MIME, JAR / XPI    DomainA1-Server1CA C ,

  • Executou openssl s_client -connect ServerA2:443 -CAfile /root/certs/DomainA1-Server1CA.cer , tentou com (.CRT e .PEM), obteve os dois erros acima.

  • Executou openssl s_client -connect ServerA2:443 -CApath /root/certs , tentou com (.CRT e .PEM), obteve os dois erros acima.

  • Executou openssl s_client -connect ServerA2:443 , obteve os dois erros acima.

Snippet de certificação emitido 

    Data:
    Version: 3 (0x2)
    Serial Number:
    54:a9:50:a3:00:01:00:00:14:47
    Signature Algorithm: sha1WithRSAEncryption
    Issuer: DC=com, DC=domainA1, CN=DomainA1-Server1CA
    Validity
    Not Before: April  5 16:45:48 2017 GMT
    Not After : April  5 16:45:48 2019 GMT
    Subject: C=US, ST=NY, L=CityA, O=CompanyNAME, OU=IT,
    CN=ServerB1.DomainA1.com

Certificado de cadeia CA 

    Data: Version: 3 (0x2) 
    Serial Number: 19:11:eb:af:4c:d5:a9:94:49:ka:2f:41:f2:e1:09:g2 
    Signature Algorithm: sha256WithRSAEncryption 
    Issuer: DC=com, DC=domainA1, CN=DomainA1-Server1CA 
    Validity 
    Not Before: Aug 15 18:41:45 2015 GMT 
    Not After : Aug 15 18:41:45 2025 GMT Subject: DC=com, DC=domainA1,                 
    CN=DomainA1-Server1CA Subject Public Key Info: 
    Public Key Algorithm: rsaEncryption Public-Key: (2048 bit)

        ...C.A
    X509v3 Key Usage:
        Digital Signature, Certificate Sign, CRL Sign
    X509v3 Basic Constraints: critical
        CA:TRUE
    X509v3 Subject Key Identifier:
    
por JonLinux 12.04.2017 / 02:33

0 respostas

Tags

Autenticação Apache Kerberos: o KDC não tem suporte para o tipo de criptografia Como devo aumentar o tamanho de um servidor invadido?