OpenSSL: não é possível obter o certificado do emissor local

1

Estou tentando ativar o grampeamento do OCSP como Nginx. No entanto, quando testo meu certificado SSL, estou chegando a alguns problemas.

Alguma idéia de como corrigir os problemas "resposta OCSP: sem resposta enviada" e "verificar erro: num = 20: impossível obter certificado de emissor local"?

Eu mascarei algumas das informações, pois não tenho certeza do que é "seguro" postar.

localhost# openssl s_client -connect www.example.com:443 -tls1 -tlsextdebug -status -CApath /etc/ssl/cert/RapidSSL_CA_bundle.pem

OCSP response: no response sent
depth=1 C = US, O = "GeoTrust, Inc.", CN = RapidSSL CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:/serialNumber=3-XXXXXXX/XXXXXXX/SYLel9-A/OU=XXXXXXXX/OU=See www.rapidssl.com/resources/cps (c)14/OU=Domain Control Validated - RapidSSL(R)/CN=www.example.com
i:/C=US/O=GeoTrust, Inc./CN=RapidSSL CA
1 s:/C=US/O=GeoTrust, Inc./CN=RapidSSL CA
i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
---

...
...
Verify return code: 20 (unable to get local issuer certificate)

Editar: configuração do Nginx

    # SSL Directives
    ssl_session_cache    shared:SSL:10m;
    ssl_session_timeout  10m;

    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/ssl/cert/RapidSSL_CA_bundle.pem;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 10s;

    ssl_prefer_server_ciphers On;
    ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
    
por Brian Smith 04.10.2014 / 03:54

0 respostas

Tags