证书链验证失败

Question

我有三个证书：

• root.cer
• inter.cer
• leaf.cer

当我试图通过：openssl验证-CAfile root.cer -untrusted inter.cer leaf.cer来验证链时，我得到：

C= GB，O=捷豹路虎，OU = QA，CN = QA-JLR-ECUSigningCA 02

1深度查找错误24 :无效的CA证书错误leaf.cer：

验证失败

我几乎什么都试过了，但我总是能得到这个结果。QA-JLR-ECUSigningCA 02是inter.cer

Answer 1

这可能是因为root.cert或inter.cer或者两者都没有'CA:TRUE‘在'x509基本约束’中。

您可以读取根证书和中间证书，并检查扩展名：

openssl x509 -in root.cer -noout -text

而且，如果要查找以下内容，则必须设置它才能使验证工作。

X509v3 Basic Constraints:
        CA:TRUE