Openssl的：错误“自我在证书链签署证书”

Question

当我使用的OpenSSL API来验证服务器证书（自签名），我得到以下错误：在1个深度查找

错误19：自签名证书中证书 链

作为每OpenSSL的documentation，该错误（19）是

“X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN：自SIGNE d证书 证书链 - 可以使用 不受信任的证书构建证书链，但在本地找不到根。“

为什么会发生此错误？我的服务器证书有问题吗？

Answer 1

您有一个自签名证书，所以它默认为不可信，这就是OpenSSL抱怨的原因。此警告实际上是一件好事，因为这种情况也可能由于man-in-the-middle attack而上升。

要解决此问题，您需要将其安装为受信任的服务器。如果它由不受信任的CA签署，则您还必须安装该CA的证书。

查看关于安装自签名证书的this link。

Answer 2

这里是一个班轮验证证书链：

openssl verify -verbose -x509_strict -CAfile ca.pem cert_chain.pem

这并不需要在任何地方安装CA。

查看How does an SSL certificate chain bundle work?了解详情。