Openssl: errore "certificato firmato sé in catena di certificati"

Question

Quando ho usato le API OpenSSL per convalidare il certificato del server (self firmato), l'errore mi sono seguenti:

errore 19 alla ricerca 1 profondità: certificato firmato di auto in certificato catena

Come da OpenSSL documentation, questo errore (19) è

"X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN: auto signe d certificato nella catena di certificati - la catena di certificati può essere creata utilizzando i certificati non attendibili ma la radice non può essere trovata localmente. "

Perché si verifica questo errore? Problemi con il mio certificato del server?

Answer 1

Si dispone di un certificato autofirmato, quindi è non attendibile per impostazione predefinita, questo è il motivo per cui OpenSSL si lamenta. Questo avviso è in realtà una buona cosa, perché questo scenario potrebbe anche aumentare a causa di un man-in-the-middle attack.

Per risolvere questo problema, è necessario installarlo come server affidabile. Se è firmato da una CA non attendibile, dovrai installare anche il certificato della CA.

Dai un'occhiata allo this link sull'installazione di certificati autofirmati.

Answer 2

Ecco one-liner per verificare catena di certificati:

openssl verify -verbose -x509_strict -CAfile ca.pem cert_chain.pem

Questo non richiede l'installazione di CA ovunque.

Vedere How does an SSL certificate chain bundle work? per dettagli.