1. ホーム
  2. 質問と答え
  3. "リターンコードを確認してください:21(最初の証明書を確認できません)"

"リターンコードを確認してください:21(最初の証明書を確認できません)"

2017-04-11 33 views
2

私はCAチェーンも持っているローカル発行証明書を検証できないという不満をopensslに抱いています。私はLOCAL CA Chain Cert(CER、PEM、CRT)に加えて、ローカルで発行された証明書(PEMとCRT)を持っています。ルートと発行者は同じサーバーです。両方の証明書のテキストを比較すると、両方とも "発行者:"フィールドで一致します。これはRedhat Linuxサーバーです。 エラー「検証エラー:num = 20:ローカル発行者証明書を取得できません」と「戻りコード:21(最初の証明書を検証できません)」"リターンコードを確認してください:21(最初の証明書を確認できません)"

これ以上何を探すべきかわかりません。 、どんなフィードバックも高く評価されます。

おかげ

ジョン

トラブルが

  • ステップIは、-d​​の/ etc/PKI/nssdb -A -t」のcertutil cerutilを使用して、Linuxの本命に発行CA証明書を追加しましたC n "-n DomainA1-Server1CA -i /root/DomainA1-Server1CA.cer

-Ran certutil -d/etc/pki/nssデシベル-Lと私はそこに証明書

Certificate Nickname Trust Attributes 
          SSL,S/MIME,JAR/XPI 
    DomainA1-Server1CA  C,,
を見ることができます

  • 蘭のopenssl s_client -connect ServerA2:443 -CAfile /root/certs/DomainA1-Server1CA.cer,tried(.CRTと.PEM)上記の2つのエラーがあります。 -Ran openssl s_client -connect ServerA2:443 -CApath/root/certs、(.CRTと.PEM)で試してみましたが、上記の2つのエラーがあります。

  • Ran openssl s_client -connect ServerA2:443。上記の2つのエラーがあります。証明書発行

あなたが怒鳴るコマンドでテストすることができます

Data: 
    Version: 3 (0x2) 
    Serial Number: 
    54:a9:50:a3:00:01:00:00:14:47 
    Signature Algorithm: sha1WithRSAEncryption 
    Issuer: DC=com, DC=domainA1, CN=DomainA1-Server1CA 
    Validity 
    Not Before: April 5 16:45:48 2017 GMT 
    Not After : April 5 16:45:48 2019 GMT 
    Subject: C=US, ST=NY, L=CityA, O=CompanyNAME, OU=IT, 
    CN=ServerB1.DomainA1.com

CAチェーン証明書

Data: Version: 3 (0x2) 
    Serial Number: 19:11:eb:af:4c:d5:a9:94:49:ka:2f:41:f2:e1:09:g2 
    Signature Algorithm: sha256WithRSAEncryption 
    Issuer: DC=com, DC=domainA1, CN=DomainA1-Server1CA 
    Validity 
    Not Before: Aug 15 18:41:45 2015 GMT 
    Not After : Aug 15 18:41:45 2025 GMT Subject: DC=com, DC=domainA1,     
    CN=DomainA1-Server1CA Subject Public Key Info: 
    Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) 

     ...C.A 
    X509v3 Key Usage: 
     Digital Signature, Certificate Sign, CRL Sign 
    X509v3 Basic Constraints: critical 
     CA:TRUE 
    X509v3 Subject Key Identifier:

出典

2017-04-11 JonLinux

答えて

0

After enabling SSL certificate on Server.

スニペット。 

$ openssl s_client -connect <server name>:443

出力:

CONNECTED(00000003) 
depth=0 OU = Domain Control Validated, CN = <server-name> 
verify error:num=20:unable to get local issuer certificate 
verify return:1 
----------- 
----------- 
Start Time: 1492427495 

    Timeout : 300 (sec) 
    Verify return code: 21 (unable to verify the first certificate) 
---

あなたがエラーの上になった場合(リターンコード:20。..またはコード21を返す)

の/ etcに怒鳴るの行を追加します/ apache2/site-available/default-ssl。confにファイル

SSLCertificateFile  /home/ubuntu/cert/e4720ca1b42c1ebb.crt 
SSLCertificateKeyFile /home/ubuntu/cert/server.key 

SSLCertificateChainFile /home/ubuntu/cert/gd_bundle-g2-g1.crt

再び

$ openssl s_client -connect <server name>:443

を実行します。例:$ openssl s_client -connect google.com:443

出力:

CONNECTED(00000003) 
depth=3 C = US, O = Equifax, OU = Equifax Secure Certificate Authority 
verify return:1 
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA 
verify return:1 
depth=1 C = US, O = Google Inc, CN = Google Internet Authority G2 
verify return:1 
------------ 
------------ 
Start Time: 1492431152 
Timeout : 300 (sec) 
Verify return code: 0 (ok)

あなたがまだのgettin場合gエラー:SSLキーとアドオンサーバー

注意:Apache Server Configurationを再生成する必要があります。

は、それが問題を解決することを願っています:)

出典

2017-04-17 12:17:03

+1

'e4720ca1b42c1ebb.crt'、なぜこの場所に追加する何ですか? –

関連する問題

 関連する問題