para - instalar certificado ssl linux

¿Cómo funciona un paquete de cadena de certificados SSL? (2)

Creé una jerarquía de cadenas como esta.

root-ca ==> signing-ca ==> subordinate-ca ==> server

Se menciona que para crear un paquete de cadenas, el más bajo debe ir primero.

$ cat server.crt subordinate-ca.crt signing-ca.crt > server.pem

Pero la verificación falla.

$ openssl verify -CAfile root-ca.crt server.pem error 20 at 0 depth lookup:unable to get local issuer certificate

Sin embargo, si cambio el orden parece funcionar.

$ cat signing-ca.crt subordinate-ca.crt server.crt > server.pem $ openssl verify -CAfile root-ca.crt server.pem server.pem: OK

Entonces, ¿cuál sería el error aquí?

La cadena después de "gato" se ve a continuación.

-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----

Más información: de acuerdo con " http://www.herongyang.com/crypto/openssl_verify_2.html ", realizo la siguiente prueba que funciona.

$ cat signing-ca.crt subordinate-ca.crt > inter.crt $ openssl verify -CAfile root-ca.crt -untrusted inter.crt server.crt server.crt: OK

¿Eso significa que todos los enlaces son buenos?

OK, finalmente descubro que esto no se puede hacer a través de la línea de comandos de OpenSSL (o al menos fácilmente). http://openssl.6102.n7.nabble.com/check-certificate-chain-in-a-pem-file-td43871.html