openssl verify - ошибка 20 при поиске по глубине 0: не удалось получить сертификат локального эмитента

Question

Я создал сертификат PEM из сертификата PFX и хотел его проверить. Однако я столкнулся с этой проблемой, попробую найти ответы, но я didnt и поэтому я не знаю, как это исправить. не могли бы вы посоветоваться? большое спасибо.

C:\OpenSSL-Win32\bin>set OPENSSL_CONF=C:\OpenSSL-Win32\bin\openssl.cfg 

C:\OpenSSL-Win32\bin>openssl 
OpenSSL> verify C:\mycert.pem 
C:\mycert.pem: C = CZ, ST = Sprava zakladnich registru, L = "Obec=Praha,Ulice=Na Vapence,PSC=13000", O = 72054506, OU = 4333, CN = tstcawilly.szr.local 
error 20 at 0 depth lookup:unable to get local issuer certificate 
error in verify 
OpenSSL> 
OpenSSL> verify -CAfile C:\mycert.pem C:\mycert.pem 
C:\mycert.pem: C = CZ, ST = Sprava zakladnich registru, L = "Obec=Praha,Ulice=Na Vapence,PSC=13000", O = 72054506, OU = 4333, CN = tstcawilly.szr.local 
error 20 at 0 depth lookup:unable to get local issuer certificate 
error in verify 
OpenSSL> 

Answer 1

OpenSSL> проверить -CAfile C: \ mycert.pem C: \ mycert.pem

Закрыть. Вам необходимо добавить корневой сертификат CA с -CAfile; а не сертификат конечного объекта. Что-то вроде:

openssl verify -CAfile C:\ca-cert.pem C:\mycert.pem 

Кроме того, если имеется промежуточный сертификат, то он должен быть добавлен в mycert.pem. Таким образом, у mycert.pem на самом деле будет два (или более) сертификата (а не один).

Добавление всех необходимых сертификатов в mycert.pem в попытке построить действующую цепочку решает проблему "which directory". Это хорошо известная проблема в PKI. По сути, клиент (например, я) не знает, куда идти, чтобы получить отсутствующие промежуточные сертификаты.