Openssl:0 深度错误 20 lookup:unable 获取本地颁发者证书

Openssl: error 20 at 0 depth lookup:unable to get local issuer certificate

我使用 Python 创建了 3 个证书:rootca.crt、intermediateca.crt 和 server.crt。 我使用 rootca.crt 来签署 intermediateca.crt,它按预期工作:

openssl verify -CAfile rootca.crt intermediateca.crt
intermediateca.crt: OK

然后我用中间ca签了server.crt,验证失败:

openssl verify -CAfile rootca.crt -untrusted intermediateca.crt server.crt
server.crt: C = DE, ST = mein Bundesland, L = meine Stadt, O = meine Firma, CN = server.example.com, emailAddress = info@meine-firma.de
error 20 at 0 depth lookup:unable to get local issuer certificate

当我解析证书时,server.crt 授权密钥标识符与 intermediateca 主题密钥标识符相匹配。任何人都可以提示我可能出了什么问题吗?如果我使用 openssl 命令行工具生成相同的证书,它就可以工作。解析的内容是相同的,除了授权密钥标识符还包含 openssl 生成的证书的序列号和 cn。

中间 CA 无法用于验证服务器证书,因为其使用者名称与服务器证书中指定的颁发者名称不匹配。

让我们openssl转储主题和发行者名称。 -xx_hash 显示 openssl 用于构建证书链的散列:

$ openssl x509 -subject -subject_hash -noout -in rootca.crt 
subject=C = DE, ST = mein Bundesland, L = meine Stadt, O = meine Firma, OU = meine Abteilung, CN = serviceserver.example.com, emailAddress = info@meine-firma.de
347e2056

$ openssl x509 -issuer -issuer_hash -noout -in intermediateca.crt 
issuer=C = DE, ST = mein Bundesland, L = meine Stadt, O = meine Firma, OU = meine Abteilung, CN = serviceserver.example.com, emailAddress = info@meine-firma.de
347e2056

太好了,中间的颁发者名称与根的主题名称匹配。链的那部分有效。

$ openssl x509 -subject -subject_hash -noout -in intermediateca.crt 
subject=C = DE, ST = mein Bundesland, L = meine Stadt, O = meine Firma, CN = serviceserver.example.com, emailAddress = info@meine-firma.de
c4dff14c

$ openssl x509 -issuer -issuer_hash -noout -in server.crt 
issuer=C = DE, ST = mein Bundesland, L = meine Stadt, O = meine Firma, OU = meine Abteilung, CN = serviceserver.example.com, emailAddress = info@meine-firma.de
347e2056

糟糕:哈希值不同,因此 openssl 无法将中间 CA 连接到服务器证书。不同之处在于中间体的主题名称包含 OU 字段,而服务器的颁发者名称不包含。 openssl 告诉您找不到发行人时是正确的。

我不确定你是怎么得到这个状态的,我猜可能是主题或发行者名称配置错误。