openssl 配置问题,仅允许 root 用户正确验证 Web 服务器证书
openssl configuration issue which lets only root user correctly verify web server certificates
当我在 raspbian 系统上检查 Web 服务器的 SSL 证书链时,例如通过 运行
openssl s_client -connect plumbr.eu:443
我得到以下错误输出:
CONNECTED(00000003)
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify error:num=19:self signed certificate in certificate chain
verify return:0
...
然而,当我sudo完全相同时,一切正常:
CONNECTED(00000003)
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify return:1
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify return:1
depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.plumbr.eu
verify return:1
...
我测试的其他几个网站也是如此。我很确定这不是预期的行为。有人知道如何解决这个问题,或者至少提示在哪里看?到目前为止,搜索现有解决方案未成功。
确保持有可信证书的目录对每个人都具有读取权限。
在我的系统 (ubuntu) 上,AddTrust_External_Root.pem 所在的目录 /etc/ssl/certs 具有读取权限:
$ ls -ld /etc/ssl/certs
drwxr-xr-x 3 root root 24576 mar 14 2016 /etc/ssl/certs
当我在 raspbian 系统上检查 Web 服务器的 SSL 证书链时,例如通过 运行
openssl s_client -connect plumbr.eu:443
我得到以下错误输出:
CONNECTED(00000003)
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify error:num=19:self signed certificate in certificate chain
verify return:0
...
然而,当我sudo完全相同时,一切正常:
CONNECTED(00000003)
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify return:1
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify return:1
depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.plumbr.eu
verify return:1
...
我测试的其他几个网站也是如此。我很确定这不是预期的行为。有人知道如何解决这个问题,或者至少提示在哪里看?到目前为止,搜索现有解决方案未成功。
确保持有可信证书的目录对每个人都具有读取权限。
在我的系统 (ubuntu) 上,AddTrust_External_Root.pem 所在的目录 /etc/ssl/certs 具有读取权限:
$ ls -ld /etc/ssl/certs
drwxr-xr-x 3 root root 24576 mar 14 2016 /etc/ssl/certs