5

que estoy usando openssl v0.9.8r y traté de ejecutar este comando (con el nombre del archivo CA como cacert.pem en el directorio en el que yo estaba corriendo)Openssl s_client no verifica los certificados en 0.9.8r

openssl s_client -CAfile cacert.pem -CApath ./ -connect mail.google.com:443

Y la verificación no de la siguiente

Verify return code: 20 (unable to get local issuer certificate)

Sin embargo, cuando probé el mismo comando en una de las versiones más antiguas a saber OpenSSL 0.9.8e-FIPS-RHEL5 tuvo éxito como se esperaba. ¿Me estoy perdiendo de algo? Agradecería enormemente cualquier ayuda que pueda obtener ya que he estado atascado con problemas de openssl desde hace un tiempo. Muchas gracias por adelantado.

Saludos

Hari

+0

Esto no es muy clara por su descripción. ¿Actualizaste OpenSSL? ¿O instala una versión diferente? ¿Has movido/cambiado el nombre de alguno de los archivos o carpetas de certificados desde que cambiaste a v0.8.8r? ¿Qué sistema operativo? – jveazey

Respuesta

2

Desde la página de OpenSSL Verify

20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY: no se puede obtener el certificado emisor local de

el certificado del emisor no se pudo encontrar: Esto ocurre si el certificado del emisor de un certificado que no es de confianza no puede encontró.

Como puede adivinar, esto significa que la CA no pudo cargar o validar. Esto puede ser causado por cualquier razón, pero aquí hay una buena lista de verificación.

  • Permisos. En Linux, prueba sudo. En Windows intente "Ejecutar como administrador".
  • Intente utilizar el comando verify con ambas versiones y vea si obtiene el mismo error.

    openssl verify -CAfile cacert.pem -CApath ./

  • falta/archivos fuera de lugar. Algo podría haber cambiado en esa carpeta desde que se estaba ejecutando.

  • Ruta. Intente ejecutar el comando desde el mismo directorio en el que estaba cuando ejecutó el comando desde OpenSSL 0.9.8e-fips-rhel5.
0

Ésta está más cerca de un insecto que un rasgo, pero es una característica tanto tiempo como lo documentamos ;-)

c_rehash /etc/ssl/certs 
Cuestiones relacionadas