OpenSSL:无法获取本地颁发者证书

Posted

技术标签:

【中文标题】OpenSSL:无法获取本地颁发者证书【英文标题】:OpenSSL: unable to get local issuer certificate 【发布时间】:2012-09-29 05:25:25 【问题描述】:

我有一个证书 C.pfx,它被授予我使用 OpenSSL。证书 C.pfx 具有以下证书路径:C->B->A

我使用以下命令将 C.pfx 转换为 PEM: openssl pkcs12 -in C.pfx -out C.pem -nodes -- 工作正常

我在文件编辑器中打开了证书 C.pem,发现它同时具有 RSA PRIVATE KEY 和 CERTIFICATE 部分。

我还看到在 Windows XP 的 Trusted Roor Certification Athorities 存储下安装了 A 和 B 证书。

目标是使用 OpenSSL for Windows 1.0.1c 版本(目前是最新版本)对测试文件进行签名、加密、解密和验证

我使用以下命令:

--签名--

openssl smime -sign -signer C.pem -in test.txt -out test.tmp    -- WORKS OK

--加密--

openssl smime -encrypt -in test.tmp -out test.enc C.pem     -- WORKS OK

--解密--

openssl smime -decrypt -in test.enc -recip C.pem -inkey C.pem -out test1.tmp    -- WORKS OK

--验证--

openssl smime -verify -in test1.tmp -CAfile "C.pem" -out notes1.txt -- FAILS

我使用 MMC 控制台将 B 和 A 证书导出到 CER 文件,然后使用 OpenSSL 将它们转换为 PEM。之后我尝试了以下2:

openssl smime -verify -in test1.tmp -CAfile "A.pem" -out notes1.txt -- FAILS

openssl smime -verify -in test1.tmp -CAfile "B.pem" -out notes1.txt -- FAILS

所有 3 次 VERIFY 尝试均失败,并出现以下错误:

Verification failure
3672:error:21075075:PKCS7 routines:PKCS7_verify:certificate verify error:.\crypt
o\pkcs7\pk7_smime.c:342:Verify error:unable to get local issuer certificate

我做错了什么?

【问题讨论】:

【参考方案1】:

当您使用openssl smime verify 时,openssl 尝试通过检查其签名(即证书中的签名,而不是您要求验证的签名消息中的签名)来验证它要使用的证书是否受信任。为此,它必须拥有颁发证书的 CA 密钥的证书副本。

-CAfile 参数用于传递包含该 CA 证书的文件的名称,而不是用于签署消息的密钥的证书。您可以使用-certfile 参数指定用于对消息进行签名的密钥的证书......但在您的情况下,证书将在test.tmp 文件中(您可以通过在签名时指定-nocerts 来抑制它消息)。

要在验证消息时禁止检查密钥证书,您可以向 verify 命令提供 -noverify 参数(尽管 openssl smime verify -noverify 看起来有点奇怪)。

【讨论】:

+1 openssl smime -verify -noverify 正是我所需要的!

以上是关于OpenSSL:无法获取本地颁发者证书的主要内容,如果未能解决你的问题,请参考以下文章

OpenSSL 验证返回码:20(无法获取本地颁发者证书)

Ruby 2.6.6 OpenSSL 1.1.1g - 证书验证失败(无法获取本地颁发者证书)

OpenSSL 验证:不同 OpenSSL 版本之间的“0 深度查找时的错误 20:无法获取本地颁发者证书”

证书验证失败:无法获取本地颁发者证书

Laravel/MailChimp:无法获取本地颁发者证书

PHP - SSL 证书错误:无法获取本地颁发者证书