certificado raíz autofirmado no se puede verificar con openssl - error 18 en 0 búsqueda en profundidad [cerrado]

0

Simplemente estoy tratando de crear un certificado autofirmado. Creé un certificado raíz a partir del cual creé

  • clave del servidor + cert y
  • clave de cliente + cert

Mientras se conecta al servidor TLS instalado con la clave del servidor + certificado del servidor, el cliente falla con el mensaje Peer's Certificate issuer is not recognized .

Para depurar cuando quiero verificar mi propio certificado raíz, obtengo error 18 at 0 depth lookup .

enlace menciones "# 2 podría ser porque el certificado es autofirmado y no es confiable" pero no estoy seguro de cómo puedo verificar el certificado raíz.

A continuación se encuentra mi configuración para crear un certificado raíz,

root-ca.config

[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[ dn ]
C=US
ST=Seattle
L=Seattle
O=Duwamish
OU=SC
[email protected]
CN =localhost

cert

openssl req -newkey rsa:1024 -sha1 -keyout rootkey.pem -out rootreq.pem -config root-ca.conf
openssl x509 -req -in rootreq.pem -sha1 -signkey rootkey.pem -out rootcert.pem

Luego copié el certificado raíz a /etc/pki/tls/certs/ (Redhat os).

cp rootcert.pem /etc/pki/tls/certs/
sudo update-ca-trust extract

[root@ip-172-18-20-233 conf3]# ll /etc/pki/tls/certs
total 24
lrwxrwxrwx 1 root     root       49 Apr 17 07:59 ca-bundle.crt -> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
lrwxrwxrwx 1 root     root       55 Apr 17 07:59 ca-bundle.trust.crt -> /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt
-rwxr-xr-x 1 root     root      610 Feb 28  2017 make-dummy-cert
-rw-r--r-- 1 root     root     2388 Feb 28  2017 Makefile
-rwxr-xr-x 1 root     root      829 Feb 28  2017 renew-dummy-cert
-rw-r--r-- 1 ec2-user ec2-user 1688 Aug 31 22:58 restapi-root-ca.cert
-rw-r--r-- 1 root     root     1342 Sep  1 05:58 restapi-server.cert
-rw-r--r-- 1 root     root      944 Sep  1 08:00 rootcert.pem

verify

openssl verify rootcert.pem 
rootcert.pem: /C=US/ST=Seattle/L=Seattle/O=Duwamish/OU=SC/[email protected]/CN=localhost
error 18 at 0 depth lookup:self signed certificate
OK
    
pregunta prayagupd 01.09.2017 - 09:34
fuente

1 respuesta

1

Estoy respondiendo a mi propia pregunta muy novata 101. Tuve que instalar el certificado raíz para poder confiar en él.

Estaba actualizando redhat ca después de copiar mi certificado raíz a /etc/pki/tls/certs , pero de alguna manera no se volvió a cargar. Terminé copiando el PEM manualmente a /etc/pki/tls/certs/ca-bundle.crt .

    
respondido por el prayagupd 01.09.2017 - 10:42
fuente

Lea otras preguntas en las etiquetas