使用“-CApath”选项时,OpenSSL的s_client究竟做了什么?

时间:2015-07-09 08:23:22

标签: openssl

在尝试调试客户端Web服务器上的一些SSL问题时,我遇到了s_client的一个有趣行为。

如果我这样做

openssl s_client -servername 'www.delinat.com' -connect www.delinat.com:443

s_client给了我Verify return code: 20 (unable to get local issuer certificate)

我想这意味着默认情况下,它没有使用任何受信任的根证书,因为这是-CApath-CAfile选项的用途,对吧?

但请考虑一下:

openssl s_client -servername 'www.delinat.com' -connect www.delinat.com:443 -CApath foo

此命令将返回Verify return code: 0 (ok),但没有目录foo

看起来好像提供一条不相干的路径会以某种方式迫使s_client使用默认的根证书。

但是给-CApath选项没有值会产生错误。

任何人都可以对这种行为有所了解吗?此外,哪个根证书s_client在第二种情况下使用?

0 个答案:

没有答案