Openssl: Fehler "selbst signiertes Zertifikat in der Zertifikatkette"

Question

Wenn I Openssl APIs verwendet Serverzertifikat zu validieren (self signed), wurde ich Fehler folgende:

Fehler 19 bei 1 Tiefe lookup: selbst signiertes Zertifikat in Zertifikat-Kette

Wie pro Openssl documentation, dieser Fehler (19) ist

„X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN: self signe d-Zertifikat in Zertifikatskette - die Zertifikatkette könnte mit den nicht vertrauenswürdigen Zertifikaten aufgebaut werden, aber der Stamm konnte nicht lokal gefunden werden. "

Warum tritt dieser Fehler auf? Irgendwelche Probleme mit meinem Serverzertifikat?

Answer 1

Sie haben ein Zertifikat, das selbstsigniert ist, also ist es nicht vertrauenswürdig standardmäßig, deshalb beschwert sich OpenSSL. Diese Warnung ist eigentlich eine gute Sache, denn dieses Szenario könnte auch aufgrund einer man-in-the-middle attack steigen.

Um dies zu beheben, müssen Sie es als vertrauenswürdigen Server installieren. Wenn es von einer nicht vertrauenswürdigen Zertifizierungsstelle signiert wurde, müssen Sie auch das Zertifikat dieser Zertifizierungsstelle installieren.

Werfen Sie einen Blick auf this link über selbstsignierte Zertifikate installieren.

Answer 2

Hier Einzeiler Zertifikatskette zu überprüfen:

openssl verify -verbose -x509_strict -CAfile ca.pem cert_chain.pem

Dies erfordert nicht CA überall zu installieren.

Weitere Informationen finden Sie unter How does an SSL certificate chain bundle work?.