Documentation
Table of Contents
2 Проблеми са сертификатом
OpenSSL се користи са CRLs и за неке CA у ланцу сертификата његов CRL није укључен у TLSCRLFile
У евиденцији TLS сервера у случају OpenSSL peer:
није успео да прихвати долазну везу: од 127.0.0.1: TLS руковање са 127.0.0.1 вратио код грешке 1: \
датотека s3_srvr.c линија 3251: грешка: 14089086: SSL рутине: ssl3_get_client_certificate: верификација сертификата није успела: \
TLS пише фатално упозорење "непознати CA"У евиденцији TLS сервера у случају GnuTLS peer:
није успео да прихвати долазну везу: од 127.0.0.1: TLS руковање са 127.0.0.1 вратио код грешке 1: \
датотека rsa_pk1.c ред 103: грешка:0407006А: rsa рутине:RSA_padding_check_PKCS1_type_1:\
тип блока није 01 фајл rsa_eay.c ред 705: грешка:04067072: rsa рутине:RSA_EAY_PUBLIC_DECRYPT:paddinCRL је истекао или истиче током рада сервера
OpenSSL, у логу сервера:
- пре истека:
не могу да се повежем са проксијем "proxy-openssl-1.0.1e": TCP успешан, не могу да успоставим TLS на [[127.0.0.1]:20004]:
SSL_connect() је вратио SSL_ERROR_SSL: датотека s3_clnt.c линија 1253: грешка:14090086:
SSL рутине:ssl3_get_server_certificate:верификација сертификата није успела:
TLS упозорење о писању "сертификат опозван"
- након истека:
не могу да се повежем са проксијем "proxy-openssl-1.0.1e": TCP успешан, не могу да успоставим TLS на [[127.0.0.1]:20004]:
SSL_connect() је вратио SSL_ERROR_SSL: датотека s3_clnt.c линија 1253: грешка:14090086:
SSL рутине:ssl3_get_server_certificate:верификација сертификата није успела:
TLS упозорење о писању "сертификат је истекао"
Поента је да се са важећим CRL-ом опозвани сертификат пријављује као "сертификат је опозван". Када CRL истекне, порука о грешци се мења у "сертификат је истекао", што је прилично обмањујуће.
GnuTLS, у логу сервера:
- пре и после истека исто:
не могу да се повежем са проксијем "proxy-openssl-1.0.1e": TCP успешан, не могу да успоставим TLS на [[127.0.0.1]:20004]:
неважећи peer сертификат: Сертификат НИЈЕ поуздан. Ланац сертификата је опозван.
Самопотписани сертификат, непознат CA
OpenSSL, у евиденцији:
error:'самопотписани сертификат: SSL_connect() постави код резултата на SSL_ERROR_SSL: датотека ../ssl/statem/statem_clnt.c\
ред 1924: грешка:1416F086:SSL рутине:tls_process_server_certificate:верификација сертификата није успела:\
TLS напише фатално упозорење "непознати CA"'Ово је примећено када је серверски сертификат грешком имао истог издаваоца и Субјекат стринг, иако га је потписао CA. Издавач и Субјект су једнаки у CA сертификату највишег нивоа, али не могу бити једнаки у серверу сертификат. (Исто важи и за сертификате проксија и агента.)
Да бисте проверили да ли сертификат садржи исте уносе издаваоца и предмета, покрените:
openssl x509 -in <yourcertificate.crt> -noout -textПрихватљиво је да основни сертификат (највишег нивоа) има идентичне вредности за издаваоца и субјекта.