2 Sertifikātu problēmas
OpenSSL tiek izmantots ar CRL, un kādai CA sertifikātu ķēdē tās CRL nav iekļauts TLSCRLFile
TLS servera žurnālā OpenSSL partnera gadījumā:
failed to accept an incoming connection: from 127.0.0.1: TLS handshake with 127.0.0.1 returned error code 1: \
file s3_srvr.c line 3251: error:14089086: SSL routines:ssl3_get_client_certificate:certificate verify failed: \
TLS write fatal alert "unknown CA"TLS servera žurnālā GnuTLS partnera gadījumā:
failed to accept an incoming connection: from 127.0.0.1: TLS handshake with 127.0.0.1 returned error code 1: \
file rsa_pk1.c line 103: error:0407006A: rsa routines:RSA_padding_check_PKCS1_type_1:\
block type is not 01 file rsa_eay.c line 705: error:04067072: rsa routines:RSA_EAY_PUBLIC_DECRYPT:paddinCRL derīguma termiņš ir beidzies vai tas beidzas servera darbības laikā
[OpenSSL]{.underline}, servera žurnālā:
- pirms derīguma termiņa beigām:
<!-- -->cannot connect to proxy "proxy-openssl-1.0.1e": TCP successful, cannot establish TLS to [[127.0.0.1]:20004]:\
SSL_connect() returned SSL_ERROR_SSL: file s3_clnt.c line 1253: error:14090086:\
SSL routines:ssl3_get_server_certificate:certificate verify failed:\
TLS write fatal alert "certificate revoked"- pēc derīguma termiņa beigām:
<!-- -->cannot connect to proxy "proxy-openssl-1.0.1e": TCP successful, cannot establish TLS to [[127.0.0.1]:20004]:\
SSL_connect() returned SSL_ERROR_SSL: file s3_clnt.c line 1253: error:14090086:\
SSL routines:ssl3_get_server_certificate:certificate verify failed:\
TLS write fatal alert "certificate expired"Būtība ir tāda, ka ar derīgu CRL atsaukts sertifikāts tiek ziņots kā "certificate revoked". Kad CRL derīguma termiņš beidzas, kļūdas ziņojums mainās uz "certificate expired", kas ir diezgan maldinoši.
[GnuTLS]{.underline}, servera žurnālā:
- pirms un pēc derīguma termiņa beigām tas pats:
<!-- -->cannot connect to proxy "proxy-openssl-1.0.1e": TCP successful, cannot establish TLS to [[127.0.0.1]:20004]:\
invalid peer certificate: The certificate is NOT trusted. The certificate chain is revoked.Pašparakstīts sertifikāts, nezināms CA
[OpenSSL]{.underline}, žurnālā:
error:'self signed certificate: SSL_connect() set result code to SSL_ERROR_SSL: file ../ssl/statem/statem_clnt.c\
line 1924: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:\
TLS write fatal alert "unknown CA"'Tas tika novērots, kad servera sertifikātam kļūdas dēļ bija vienāda Issuer un Subject virkne, lai gan to bija parakstījis CA. Issuer un Subject ir vienādi augšējā līmeņa CA sertifikātā, taču tie nevar būt vienādi servera sertifikātā. (Tas pats attiecas uz starpniekservera un aģenta sertifikātiem.)
Lai pārbaudītu, vai sertifikāts satur vienādus Issuer un Subject ierakstus, izpildiet:
openssl x509 -in <yourcertificate.crt> -noout -textSaknes (augšējā līmeņa) sertifikātam ir pieļaujams, ka Issuer un Subject vērtības ir identiskas.