例如去掉 /usr/share/ssl/certs/ca-bundles.crt 中的
ROOTCA 的证书
对于由 SZCA.crt 这样由 ROOTCA 签发的就会出错,但对于由
SZCA-Selfsign.crt 签发的证书还可以被校验
[root@monitor certs]# openssl verify
-CAfile /usr/share/ssl/certs/ca-bundle.crt -purpose any -verbose SZCA-Coding.cer
SZCA-Coding.cer: OK
[root@monitor certs]# openssl verify
-CAfile /usr/share/ssl/certs/ca-bundle.crt -purpose any SZCA.cer
SZCA.cer: /C=CN/ST=Guangdong/L=Shenzhen/O=ShenZhen Certificate
Authority/OU=szca/CN=SZCA
error 20 at 0 depth
lookup:unable to get local issuer certificate
[root@monitor
certs]#
因为在查找 SZCA.cet 的 issuer 时就出错了,在 ca-bundles.crt
中找不到 subject 的 CN 值为 ROOTCA 的证书,所以在第0级就错误了
阅读(382) | 评论(0) | 转发(0) |