Intenté ejecutar el siguiente comando de shell:
openssl verify -CAfile rootcert.pem publickey_imcert_chain.pem
donde publickey_imcert_chain.cert es una cadena de:
- servercert.pem (clave pública firmada por imcert.pem)
- imcert.pem (certificado intermedio firmado por rootcert.pem)
Los puse juntos usando:
cat publickey.pem imcert.pem > publickey_imcert_chain.pem
- rootcert.pem es el certificado de CA raíz autofirmado
Ahora recibo el mensaje de respuesta:
error 20 en la búsqueda en profundidad 0: no se puede obtener el certificado del emisor local
Y ahora mis preguntas:
- ¿Puede OpenSSL verificar una cadena de certificados de CA intermedias de clave pública con un certificado de CA raíz?
- ¿Y es esto incluso una constelación legítima de certificados, si pongo el primero y el segundo certificado en una cadena?
- El error 20 en profundidad 0 significa que OpenSSL no puede encontrar el certificado que firmó el primer certificado, ¿verdad?
- ¿Pero cuál sería el primer certificado aquí? ¿Sería esta mi clave pública o sería la cadena de la clave pública y el certificado de IM?