openssl验证不使用GeoTrust证书

Question

我有一个新购买的GeoTrust域证书和一个匹配的CA文件，并希望验证与openssl。

openssl verify -verbose -purpose any 
-CAfile /full/path/sub.domain.com-geotrust.crt  /full/path/sub.domain.com.crt

从本页：https://secure.marumoto.us/motowiki/tiki-index.php?page=Verify+a+Certificate+Chain

链中每个证书的颁发者应与链中下一个证书的主题匹配。例如，myserver.mydomain.com.cert的发行者应与myintermediate_ca.cert主体相匹配，myintermediate_ca.cert的发行者应与myroot_ca.cert的主体相匹配。可以使用以下命令查看.pem或base64格式的证书。

从…

openssl x509 -text -in sub.domain.crt and
openssl x509 -text -in sub.domain-geotrust.crt (CA root file)

sub.domain.com
Subject:    OU=GT44865949, 
            OU=See www.geotrust.com/resources/cps (c)15, 
            OU=Domain Control Validated - QuickSSL(R), 
            CN=sub.domain.com
Issuer:
            commonName                = GeoTrust DV SSL CA - G4
            organizationalUnitName    = Domain Validated SSL
            organizationName          = GeoTrust Inc.
            countryName               = US        

Intermediate:        
Subject:
            commonName                = GeoTrust DV SSL CA - G4
            organizationalUnitName    = Domain Validated SSL
            organizationName          = GeoTrust Inc.
            countryName               = US

Issuer:
            commonName                = GeoTrust Global CA
            organizationName          = GeoTrust Inc.
            countryName               = US

Root:
Subject:
            commonName                = GeoTrust Global CA
            organizationName          = GeoTrust Inc.
            countryName               = US
Issuer:
            organizationalUnitName    = Equifax Secure Certificate Authority
            organizationName          = Equifax
            countryName               = US            

看来我的发布器字段和Subject字段匹配得很好，但是我在openssl中得到了以下错误：

0深度查找错误20 :无法获得本地颁发者证书/full/path/sub.domain.com.crt: /OU=GT44865949/OU=见www.Geotru.com/resources/cps(C)15/OU=域控制验证-QuickSSL(注册商标)/CN=sub.domain.com错误20在0深度查找:无法获得本地颁发者证书

我希望在不同的子域中使用这个和类似的GeoTrust证书来在restful url上进行双向SSL身份验证，但是证书不会根据它们发出的CA文件使用'openssl‘进行验证。任何建议都非常感谢。

Answer 1

根据讨论，这是一个允许openssl查看整个验证链的问题:使用GeoTrust CA中间层和根。

openssl应该使用包含所有PEM格式的所有3 CA的CADir参数来运行。GeoTrust的实际根可以从您最喜欢的浏览器中提取，也可以在这里提取:filedropper.com/GeoTrust GeoTrust。

配置实际服务器时，只需确保在server上发送中间服务器，有些站点不会这样做，并破坏没有缓存中间服务器的客户端。

Answer 2

在RomanK的回答上，您可以从他们的根证书存储获得GeoTrust全局CA。它们在其中列出了许多主/通用/全局证书，因此确保为您的中间证书找到了正确的证书。

Answer 3

根据链显示，根证书不是自签名的。它显示它是由Equifax发行的。Openssl将继续提供错误“本地颁发者证书未找到”，直到它获得自签名根证书。当遇到根自签名时，它就能够验证证书链是否完整。