运行openssl ocsp时，为什么会出现验证错误:无法获取本地颁发者证书？

Question

我正尝试在OCSP服务器上验证客户端证书，但失败了。

这是我正在尝试运行的命令：

openssl ocsp -issuer test_ca_cert.pem -cert my_test_client_cert.pem -text -url http://demo.server.com/ocsp

这是输出：

OCSP Request Data:
...
OCSP Response Data:
....
Certificate:
...
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
Response Verify Failure
140530622551704:error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:ocsp_vfy.c:138:Verify error:unable to get local issuer certificate
my_test_client_cert.pem: good
    This Update: Jan 17 15:56:46 2017 GMT

我检查了我的客户端证书中的颁发者与test_ca_cert.pem中的颁发者相同。

我做错了什么？我该如何解决这个问题呢？

谢谢

Answer 1

按照@pedrofb建议的方式使用-CAfile对我有效，但既不使用根证书，也不使用中间证书，而是将根证书和中间证书捆绑在一起(即cat root.pem intermediate.pem > bundle.pem)。