Se encuentra viendo la documentación de la versión en desarrollo, puede estar incompleta.
Esta página fue traducida automáticamente. Si detectas un error, selecciónalo y presiona Ctrl+Enter para informarlo a los editores.

2 Problemas de certificados

OpenSSL usado con CRLs y para alguna CA en la cadena de certificados su CRL no está incluida en TLSCRLFile

En el registro del servidor TLS en caso de OpenSSL peer:

no se pudo aceptar una conexión entrante: desde 127.0.0.1: el handshake TLS con 127.0.0.1 devolvió el código de error 1: \
           archivo s3_srvr.c línea 3251: error:14089086: rutinas SSL:ssl3_get_client_certificate:certificate verify failed: \
           TLS write fatal alert "unknown CA"

En el registro del servidor TLS en caso de GnuTLS peer:

no se pudo aceptar una conexión entrante: desde 127.0.0.1: el handshake TLS con 127.0.0.1 devolvió el código de error 1: \
           archivo rsa_pk1.c línea 103: error:0407006A: rutinas rsa:RSA_padding_check_PKCS1_type_1:\
           block type is not 01 archivo rsa_eay.c línea 705: error:04067072: rutinas rsa:RSA_EAY_PUBLIC_DECRYPT:paddin

CRL caducada o caduca durante la operación del servidor

OpenSSL, en el registro del servidor:

  • antes de la expiración:
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS a [[127.0.0.1]:20004]:\
           SSL_connect() devolvió SSL_ERROR_SSL: archivo s3_clnt.c línea 1253: error:14090086:\
           SSL routines:ssl3_get_server_certificate:certificate verify failed:\
           TLS write fatal alert "certificate revoked"
  • después de la expiración:
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS a [[127.0.0.1]:20004]:\
           SSL_connect() devolvió SSL_ERROR_SSL: archivo s3_clnt.c línea 1253: error:14090086:\
           SSL routines:ssl3_get_server_certificate:certificate verify failed:\
           TLS write fatal alert "certificate expired"

El punto aquí es que con una CRL válida, un certificado revocado se informa como "certificate revoked". Cuando la CRL caduca, el mensaje de error cambia a "certificate expired", lo cual es bastante engañoso.

GnuTLS, en el registro del servidor:

  • antes y después de la expiración es el mismo:
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS a [[127.0.0.1]:20004]:\
             invalid peer certificate: The certificate is NOT trusted. The certificate chain is revoked.

Certificado autofirmado, CA desconocida

OpenSSL, en el registro:

error:'self signed certificate: SSL_connect() set result code to SSL_ERROR_SSL: file ../ssl/statem/statem_clnt.c\
             line 1924: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:\
             TLS write fatal alert "unknown CA"'

Esto se observó cuando el certificado del servidor por error tenía la misma cadena de Emisor e Sujeto, aunque fue firmado por una CA. Emisor y Sujeto son iguales en el certificado de CA de nivel superior, pero no pueden ser iguales en el certificado del servidor. (Lo mismo aplica para los certificados de proxy y agente).

Para comprobar si un certificado contiene las mismas entradas de Emisor y Sujeto, ejecute:

openssl x509 -in <yourcertificate.crt> -noout -text

Es aceptable que el certificado raíz (de nivel superior) tenga valores idénticos para Emisor y Sujeto.