openssl verify - error 20 at 0 depth lookup: không thể lấy chứng chỉ của tổ chức phát hành địa phương

Question

tôi đã tạo chứng chỉ PEM từ chứng chỉ PFX và muốn xác minh nó. Tuy nhiên tôi chạy vào vấn đề này, cố gắng tìm một số câu trả lời, nhưng tôi didnt và do đó tôi không biết làm thế nào để sửa chữa nó. bạn có thể xin lời khuyên không? cảm ơn bạn rất nhiều.

C:\OpenSSL-Win32\bin>set OPENSSL_CONF=C:\OpenSSL-Win32\bin\openssl.cfg 

C:\OpenSSL-Win32\bin>openssl 
OpenSSL> verify C:\mycert.pem 
C:\mycert.pem: C = CZ, ST = Sprava zakladnich registru, L = "Obec=Praha,Ulice=Na Vapence,PSC=13000", O = 72054506, OU = 4333, CN = tstcawilly.szr.local 
error 20 at 0 depth lookup:unable to get local issuer certificate 
error in verify 
OpenSSL> 
OpenSSL> verify -CAfile C:\mycert.pem C:\mycert.pem 
C:\mycert.pem: C = CZ, ST = Sprava zakladnich registru, L = "Obec=Praha,Ulice=Na Vapence,PSC=13000", O = 72054506, OU = 4333, CN = tstcawilly.szr.local 
error 20 at 0 depth lookup:unable to get local issuer certificate 
error in verify 
OpenSSL> 

Answer 1

OpenSSL> xác minh -CAfile C: \ mycert.pem C: \ mycert.pem

Close. Bạn cần thêm chứng chỉ gốc của CA với -CAfile; chứ không phải chứng chỉ tổ chức cuối cùng của bạn. Một cái gì đó như:

openssl verify -CAfile C:\ca-cert.pem C:\mycert.pem 

Ngoài ra, nếu có chứng chỉ trung gian, bạn cần phải thêm chứng chỉ đó vào mycert.pem. Vì vậy, mycert.pem sẽ thực sự có hai (hoặc nhiều) chứng chỉ (thay vì một).

Thêm tất cả chứng chỉ bắt buộc vào mycert.pem trong nỗ lực xây dựng chuỗi hợp lệ giải quyết sự cố "which directory". Một vấn đề nổi tiếng của nó trong PKI. Về cơ bản, một khách hàng (như tôi) không biết đi đâu để có được chứng chỉ trung gian bị thiếu.