处理链时无法获得本地颁发者证书

Question

我确实有私钥(my_ca.key)和公钥(my_cert.crt)，它们是由DigiCert签名的。现在我想创建RA(注册管理局)，并通过我的私钥签署它。我试着这么做的。但是，当我试图将私钥和公钥作为pkcs12文件导出时，我得到了像这个这样的错误，无法获得本地颁发者证书，获得链式。不知道怎么解决这个问题。这里，my_cert.crt是从DigiCert高级保证CA-3扩展的，另一个是从DigiCert高级保证EV根CA扩展的

 SSL_SUBJ="/C=LK/ST=Colombo/L=Colombo/O=Nope/OU=mobile/CN=My root"

 openssl genrsa -out ra.key 4096
 openssl req -new -key ra.key -out ra.csr -subj "$SSL_SUBJ"
 openssl x509 -req -days 365 -in ra.csr -CA my_cert.pem -CAkey my_ca.pem -  set_serial 76964474 -out ra.crt 
 openssl rsa -in ra.key -text > ra_private.pem
 openssl x509 -in ra.crt -out ra_cert.pem


 openssl pkcs12 -export -out ca.p12 -inkey my_ca.pem -in my_cert.pem -name "cacert" -passout pass:password
 openssl pkcs12 -export -out ra.p12 -inkey ra_private.pem -in ra_cert.pem -  chain -CAfile my_cert.pem -name "racert" -passout pass:password

Answer 1

您通常不能使用公共CA颁发的证书来签署除客户端或服务器通信之外的任何内容；您将无法将它用于您的RA。

错误消息表明中间证书存在问题。在导出到my_cert.pem文件之前，请确保将Digicert的两个证书添加到pkcs12文件中