Hallo zusammen
Ich habe ein Zertifikat für die Root-CA, Intermediate-CA und eines für den Client erstellt Danach das Root + Intermediate in eine Datei zusammen gepackt Doch wenn ich nun versuche mein Client Zertifikat zu verifizieren, schlägt dies immer fehl !
openssl verify -check_ss_sig -CAfile full-chain.pem client-net.cr error 24 at 1 depth lookup: invalid CA certificate error client-net.crt: verification failed
Und so wurden die Dateien erstellt:
openssl genrsa -out root-ca.key 4096 openssl req -x509 -new -nodes -extensions v3_ca -key root-ca.key -out root-ca.crt -subj "/CN=ROOT-CA/O=special.net" -sha512 -days 7300 openssl genrsa -out inter-ca.key 4096 openssl req -new -key inter-ca.key -out inter.csr -subj "/CN=INTER-CA/O=special.net" -sha512 -days 3650 openssl x509 -req -in inter.csr -CA root-ca.crt -CAkey root-ca.key -CAcreateserial -out inter-ca.crt -sha512 -days 3650 cat root-ca.crt inter-ca.crt >> full-chain.pem openssl genrsa -out client-net.key 4096 openssl req -new -key client-net.key -out client-net.csr -subj "/CN=client.special.net/O=special.net" -sha512 -days 3650 openssl x509 -req -in client-net.csr -CA inter-ca.crt -CAkey inter-ca.key -CAcreateserial -out client-net.crt -sha512 -days 3650
Ich habe einen weiteren check der Aussteller (Issuer) bzw. Eigner (Subject) gemacht. Um sicher zu gehen das die Daten (wie CN und O) auch wirklich passen und sich nicht versehendlich unterscheiden. Dabei werden die md5 Hashes verglichen. Der Test zeigt das der Aussteller (Beglaubiger) immer der letzte Eigner (Subject) ist.
echo "root-ca.crt" printf "issuer: " ; openssl x509 -noout -issuer_hash -in root-ca.crt printf "subject: " ; openssl x509 -noout -subject_hash -in root-ca.crt echo echo "inter-ca.crt" printf "issuer: " ; openssl x509 -noout -issuer_hash -in inter-ca.crt printf "subject: " ; openssl x509 -noout -subject_hash -in inter-ca.crt echo echo "client-net.crt" printf "issuer: " ; openssl x509 -noout -issuer_hash -in client-net.crt printf "subject: " ; openssl x509 -noout -subject_hash -in client-net.crt
root-ca.crt issuer: b9107d09 subject: b9107d09 inter-ca.crt issuer: b9107d09 subject: c998e801 client-net.crt issuer: c998e801 subject: 8255fd0b
Und doch schlägt das immer fehl ... keine Ahnung was da falsch sein könnte ... ?? HILFE !!
Tested with OpenSSL 1.1.0g 2 Nov 2017 on Ubuntu-Server 18.04
Moderiert von rklm:
Ab ins passende Forum