我需要从证书颁发机构提取 crl 位置,以便我可以使用它来验证证书。除了使用选项并尝试解析输出(这似乎容易出现漏洞)之外,是否可以使用该openssl实用程序?-text
我正在尝试在 nginx 中设置 ssl 客户端身份验证。我创建了一个自签名根 CA。使用它,我创建了一个子 CA。我使用此子 CA 为客户端创建证书。我将子 CA 和根 CA 连接到一个新文件中。我验证了客户端证书如下:
$ openssl verify -purpose sslclient -CAfile auth-root.crt testcert.crt
testcert.crt: OK
auth-root.crt 是串联的子 CA 和根 CA;testcert.crt 是客户端证书。
我使用 将 nginx 指向 auth-root.crt ssl_client_certificate。
当我使用 testcert.crt 证书发出 HTTP 请求时,nginx 失败。我打开调试日志,可以看到以下内容:
2012/06/21 22:58:47 [debug] 8901#0: *2 verify:0, error:2, depth:1, subject:"/C=US/ST=Florida/L=Tampa/O=Test org/OU=Test OU/CN=AuthCerts TestCA",issuer: "/C=US/ST=Florida/L=tampa/O=Test org/OU=Test OU/CN=Root TestCA"
2012/06/21 22:58:47 [debug] 8901#0: *2 verify:0, error:27, depth:1, subject:"/C=US/ST=Florida/L=Tampa/O=Test org/OU=Test OU/CN=AuthCerts TestCA",issuer: "/C=US/ST=Florida/L=tampa/O=Test org/OU=Test OU/CN=Root TestCA"
2012/06/21 22:58:47 [debug] 8901#0: *2 verify:1, error:27, depth:0, subject:"/C=US/ST=Florida/L=Tampa/O=Accelerated Concepts/OU=NetBridge/CN=030202",issuer: "/C=US/ST=Florida/L=Tampa/O=Test org/OU=Test OU/CN=AuthCerts TestCA"