V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
talas
V2EX  ›  SSL

从 OpenSSL 切换到 GNUTLS,关于证书路径的疑问。

  •  
  •   talas · 2016-07-18 14:03:48 +08:00 · 3115 次点击
    这是一个创建于 3052 天前的主题,其中的信息可能已经有所发展或是发生改变。
    OpenSSL 模式下各个证书路径,运行正常:

    SSLEngine on
    SSLCertificateFile "/usr/local/httpd/ssl/server.crt"
    SSLCertificateKeyFile "/usr/local/httpd/ssl/server.key"
    SSLCACertificateFile "/usr/local/httpd/ssl/server.ca.crt"

    GnuTLS 模式下证书路径,搜索半天,不知怎么设置 server.ca.crt ,如果不设置,会报错“ SEC_ERROR_BAD_SIGNATURE ”

    GnuTLSEnable on
    GnuTLSPriorities NORMAL
    GnuTLSCertificateFile /usr/local/httpd/ssl/server.crt
    GnuTLSKeyFile /usr/local/httpd/ssl/server.key

    多谢!
    4 条回复    2016-07-19 00:23:21 +08:00
    talas
        1
    talas  
    OP
       2016-07-18 14:08:26 +08:00
    解决了,证书路径我没对应好。

    只是仍然不明白, server.ca.crt 这个证书在 GnuTLS 模式下是不必要的么?
    talas
        2
    talas  
    OP
       2016-07-18 14:12:16 +08:00
    还有疑问: OpenSSL 的配置有很多行,而 GNUTLS 只有几行就实现了,这个有什么影响么?
    talas
        3
    talas  
    OP
       2016-07-18 23:17:34 +08:00
    可能是我没有将 Let ’ s Encrypt 的中间证书追加到生成的域名证书的末尾导致的。

    这样第一个问题就解决了。一会验证一下。
    talas
        4
    talas  
    OP
       2016-07-19 00:23:21 +08:00
    验证了,追加中间证书后生成 chained.pem 替换 signed.crt ,重启 httpd 。

    再测试,也不会报错“ ERROR: cannot verify aray.org's certificate, issued by ‘/C=US/O=Let's encrypt/CN=Let's Encrypt Authority X3 ’: Unable to locally verify the issuer's authority.”
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2212 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 16:13 · PVG 00:13 · LAX 08:13 · JFK 11:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.