该问题似乎之前曾被问过:
OpenSSL Verify return code: 20 (unable to get local issuer certificate)。
但是,区别在于它与本地发行者证书有关。此外,答案不适用于Windows计算机。
问题描述
在Windows计算机上,我有一个试图与安全服务器联系的程序。双方都有证书。
问题:我无法联系它,所以我试图找出证书是否正确安装
搜索此处的堆栈溢出表示即使在运行Windows计算机的情况下,查找问题的一个好方法就是使用OpenSsl。
作为检查是否已正确安装连接的所有证书的示例,建议我使用google.com检查连接:
openssl.exe s_client -connect google.com:443
(我的浏览器连接到该服务器没有问题)
响应的第一行是
CONNECTED(00000184)
depth=1 C = US, O = Google Trust Services, CN = Google Internet Authority G3
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google LLC/CN=*.google.com
i:/C=US/O=Google Trust Services/CN=Google Internet Authority G3
1 s:/C=US/O=Google Trust Services/CN=Google Internet Authority G3
i:/OU=GlobalSign Root CA - R2/O=GlobalSign/CN=GlobalSign
---
Server certificate
-----BEGIN CERTIFICATE-----
...
然后将相同的错误继续两次:
Verification error: unable to get local issuer certificate
Verify return code: 20 (unable to get local issuer certificate)
A OpenSSL documentation about s_client对于这些错误的信息不是很丰富。
那是什么意思?我是否缺少一些证书来与google.com进行通信,或者我使用的程序不正确?
当然google.com只是一个例子。我选择了这个,所以我可以检查报告的问题是由于证书问题还是由于我使用的命令。
对于我尝试联系的实际服务器,我拥有适当的证书(至根),为.CER文件。根证书位于winstore中。
答案 0 :(得分:0)
Patrick Mevzek向我指出了正确的答案(谢谢Patrick!)。由于需要进行一些调查,因此我决定将其写下来作为完整答案。
我正在Windows Server 2012中工作。较新的版本可能会以类似的方式工作。要测试证书和通讯,我使用:
所以我是服务器的客户端。有两种安全认证:通过非常安全的方法,我们拥有以下文件:
Root.Pem A.Pem,B.Pem,C.Pem MyPrivate.key和C.Pem颁发的可信任证书,以确保我的身份:MyCertificate.pem 如果证书不是PEM格式,则需要首先对其进行转换。要检查它们是否在PEM中,请在文本编辑器中将其打开。 PEM文件如下所示:
-----BEGIN CERTIFICATE-----
MIIFyjCCA7KgAwIBAgIEAJiWjDANBgkqhkiG9w0BAQsFADBaMQswCQYDVQQGEwJO
...
-----END CERTIFICATE-----
如果不是,我们可以使用openSSL转换文件:
openssl.exe x509 -inform DER -in myCertificate.cer -out myCertificate.Pem
为了提高安全性,我分别验证了每个证书。一步执行此操作可能也很安全。
(1)A.pem是否由Root.Pem发布?
openssl.exe verify -show_chain -CAfile root.pem A.pem
参数-CAfile包含可信证书。最后一个文件是包含要验证的证书的文件。
答复应类似于:
A.pem: OK
Chain:
depth=0: C = NL, ..., CN = <some text describing certificate A> (untrusted)
depth=1: C = NL, ..., CN = <some text describing the trusted root certificate>
(2)B.Pem是否由受信任的A.Pem发布?
现在A.pem是可以信任的,我们可以检查B.Pem。为此,我们提到this answer
A.Pem
openssl.exe verify -show_chain -CAfile root.pem -untrusted A.pem B.pem
回复:
B.pem: OK
Chain:
depth=0: C = NL, ..., CN = <some text describing certificate B> (untrusted)
depth=1: C = NL, ..., CN = <some text describing certificate A> (untrusted)
depth=2: C = NL, ..., CN = <some text describing the trusted root certificate>
(3)我们可以信任证书链的其余部分吗?
所以现在B可以信任了。要继续检查链,请将不受信任的CA文件串联到一个不受信任的.pem文件中。不要添加MyCertificate.Pem
-----BEGIN CERTIFICATE-----
MIIGNjCCBB6gAwIBA...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
jCCBB6gAwIBA34F..
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
dZBo31cAYsByRL...
-----END CERTIFICATE-----
命令:
openssl.exe verify -show_chain -CAfile root.pem -untrusted untrusted.pem myCertificate.pem
回复:
MyCertificate.pem: OK
Chain:
depth=0: C = NL, ..., CN = <some text describing MyCertificate> (untrusted)
depth=1: C = NL, ..., CN = <some text describing certificate C> (untrusted)
depth=2: C = NL, ..., CN = <some text describing certificate B> (untrusted)
depth=3: C = NL, ..., CN = <some text describing certificate A> (untrusted)
depth=4: C = NL, ..., CN = <some text describing the trusted root certificate>
我想也许所有这些中间步骤都不需要检查有效性。
现在证书链是受信任的,我们可以使用OpenSsl来检查连接。
MyCertificate.pem将一个文件AllTrusted.pem中除Copy Root.Pem + A.Pem + B.Pem ... Trusted.Pem以外的所有证书串联起来命令:
openssl.exe s_client CAfile Trusted.Pem -connect google.nl:443
用正确的地址和端口替换google.nl:443
回复,类似于:
CONNECTED(00000124)
depth=1 C = US, O = Google Trust Services, CN = Google Internet Authority G3
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google LLC/CN=google.com
i:/C=US/O=Google Trust Services/CN=Google Internet Authority G3
1 s:/C=US/O=Google Trust Services/CN=Google Internet Authority G3
i:/OU=GlobalSign Root CA - R2/O=GlobalSign/CN=GlobalSign
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIhWDCCIECgAwIBAgIQaEMB4EOx3++GhdWADJfgEjANBgkqhkiG9w0BAQsFADBU
...
-----END CERTIFICATE-----
subject=/C=US/ST=California/L=Mountain View/O=Google LLC/CN=google.com
issuer=/C=US/O=Google Trust Services/CN=Google Internet Authority G3
服务器发送了一个证书来标识自己。客户端应使用此证书及其受信任的CA链来检查服务器的身份。
要继续进行通信,我们需要一个PEM文件,其中包含上述发行者及其发行者,直到根为止。使用上述过程获取完整的证书链,然后将所有证书以正确的顺序添加到文件trusted.pem中。如果将接收到的证书复制粘贴到PEM文件(文本)中,则应该能够像我如上所述验证MyCertificate.Pem一样验证该接收到的证书。
一旦安装了用于接收到的证书的CA证书,我的openssl s_client命令将回答:
...
SSL handshake has read 8945 by
Verification: OK
---
New, TLSv1.2, Cipher is ...
Server public key is 2048 bit
Start Time: 1551779993
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
因此,用于标识服务器的证书链被接受。
下一步是检查我是否可以使用MyCertficate.pem在服务器上标识自己。
这是我第一次需要我的私钥文件。我们将为此使用curl:
命令:
curl.exe -v --cacert trusted.pem --cert MyCertificate.pem --key MyPrivate.key https://...
回复:
...
* successfully set certificate verify locations:
* CAfile: trustall.pem
...
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Request CERT (13):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS handshake, CERT verify (15):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS handshake, Finished (20):
...
* Server certificate:
* subject: C=NL; ...
* start date: Apr 19 12:10:31 2016 GMT
* expire date: Apr 19 12:10:31 2019 GMT
...
* issuer: C=NL; O= <description of certificate issuer; should be in trusted.pem>
* SSL certificate verify ok.
> GET /exchange/ciot HTTP/1.1
> Host: ....
> User-Agent: curl/7.64.0
> Accept: */*
>
< HTTP/1.1 400 Bad Request
我们所看到的:
400 Bad Request 这足以知道客户端和服务器都使用受信任的证书,并且可以进行通信