¿Puede OpenSSL verificar una cadena pública de certificados de CA intermedia con un certificado de CA raíz?

3

Intenté ejecutar el siguiente comando de shell:

openssl verify -CAfile rootcert.pem publickey_imcert_chain.pem

donde publickey_imcert_chain.cert es una cadena de:

  • servercert.pem (clave pública firmada por imcert.pem)
  • imcert.pem (certificado intermedio firmado por rootcert.pem)

Los puse juntos usando:

cat publickey.pem imcert.pem > publickey_imcert_chain.pem 
  • rootcert.pem es el certificado de CA raíz autofirmado

Ahora recibo el mensaje de respuesta:

  

error 20 en la búsqueda en profundidad 0: no se puede obtener el certificado del emisor local

Y ahora mis preguntas:

  • ¿Puede OpenSSL verificar una cadena de certificados de CA intermedias de clave pública con un certificado de CA raíz?
  • ¿Y es esto incluso una constelación legítima de certificados, si pongo el primero y el segundo certificado en una cadena?
  • El error 20 en profundidad 0 significa que OpenSSL no puede encontrar el certificado que firmó el primer certificado, ¿verdad?
  • ¿Pero cuál sería el primer certificado aquí? ¿Sería esta mi clave pública o sería la cadena de la clave pública y el certificado de IM?
pregunta Jannis Kappertz 06.07.2017 - 15:23
fuente

2 respuestas

0

Encontré otra buena respuesta a mi pregunta en Stack Overflow. Aquí está el enlace:

enlace

    
respondido por el Jannis Kappertz 09.07.2017 - 14:42
fuente
1

Primero, la sintaxis es incorrecta. Debería ser:

openssl verify -CAfile rootcert.pem publickey_imcert_chain.pem

CAarchivo es rootcert.pem ...

A continuación, definitivamente no es así como funciona openssl verify . Debe concatenar todos certificados de firma intermedios hasta la raíz en un paquete y usar ese paquete para verificar el servercert.pem one:

cat imcert.pem rootcert.pem > verificator.bundle
openssl verify -CAfile verificator.bundle servercert.pem

Encontrará más referencias y ejemplos en esa pregunta del SO .

    
respondido por el Serge Ballesta 06.07.2017 - 17:03
fuente

Lea otras preguntas en las etiquetas