基本 haskell 应用中的错误 "empty certificate chain"

Error "empty certificate chain" in a basic haskell app

我在 Haskell 应用程序的目录中生成了一个证书:

openssl genrsa -out key.pem 2048
openssl req -new -key key.pem -out certificate.csr
openssl x509 -req -in certificate.csr -signkey key.pem -out certificate.pem

然后我 运行 我的应用程序:

import Network.Wai
import Network.Wai.Handler.Warp
import Servant
import Network.Wai.Handler.WarpTLS

startApp :: IO ()
startApp = do
  let port = 3345
  let tls = tlsSettings "certificate.csr" "key.pem"
  runTLS tls (setPort port defaultSettings) app

然后转到https://localhost:3345,我得到一个错误"empty certificate chain"

这是怎么回事?也许我把我的证书放在某个地方,比如“/opt/....”?

现在所有 3 个文件都在我的应用程序的根目录中:key.pem、certificate.csr 和 certificate.pem。

更新:

它是 arch linux,而在主机上我有 Ubuntu,因此我需要一个解决方案。

此证书是自签名的,而在托管时它是由 let's encrypt 颁发的。

我稍微更改了一个代码:"csr" 为 pem:

let tls = tlsSettings "certificate.pem" "key.pem"
runTLS tls (setPort port defaultSettings) app

这是另一个错误:

    $ curl -v https://localhost:3345
* Rebuilt URL to: https://localhost:3345/
*   Trying ::1...
* connect to ::1 port 3345 failed: Connection refused
*   Trying 127.0.0.1...
* Connected to localhost (127.0.0.1) port 3345 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, Server hello (2):
* SSL certificate problem: self signed certificate
* Closing connection 0
* TLSv1.2 (OUT), TLS alert, Client hello (1):
curl: (60) SSL certificate problem: self signed certificate
More details here: https://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

TL;DR:处理证书很难。使用自签名 .pem 文件(和密钥)并向您的浏览器或操作系统添加安全例外。 .csr 文件不是您可以使用的文件。服务器很好(.csr 文件除外),但在您获得由 CA 签名的密钥之前,您最终会收到安全警告(这对本地域名来说是不可能的)。


What's wrong with it?

服务器(几乎)没问题。但是,您想发送 .pem 文件。 .csr 是证书颁发机构 (CA) 对您的证书 签名的请求。 CA 需要得到用户或另一个 CA(用户信任的)的信任。让我们看看您的原始命令:

openssl genrsa -out key.pem 2048

这将生成 the private key,它将用于 TLS 握手和其他操作。

openssl req -new -key key.pem -out certificate.csr

这将生成提到的 certificate sigining request。您可以将此请求发送给 CA,CA 会检查您的身份。例如,他们会检查 FQDN 是否真的是您的。否则,您可以请求 whosebug.com 的证书并使用 MITM 攻击。这也得出结论,您不能向(非本地)CA 请求本地名称的证书,例如 localhosthostname.local.domain.name.

openssl x509 -req -in certificate.csr -signkey key.pem -out certificate.pem

这将采用原始证书请求,使用您的 自己的 密钥对其进行签名,并生成证书 (certificate.pem)。通常,此证书包含一个 CA 链,例如谁签署了 CA 的证书,谁签署了签署 CA 证书的证书等等,直到我们最终得到根证书。

因此,您所要做的就是将那个证书与您的私钥一起使用。但是,这将导致安全警告,因为您无法证明自己的身份。这就是为什么在 curl 中需要 --insecure 并且在大多数浏览器中需要安全例外。除此之外,它会起作用。请注意,服务器不知道其证书是自签名的。它只是使用两个文件来启动与客户端的通信。