私はopenssl v0.9.8rを使用しており、このコマンドを実行してみました(実行中のディレクトリでCAファイル名をcacert.pemとして)
openssl s_client -CAfile cacert.pem -CApath ./ -connect mail.google.com:443
そして、検証は次のように失敗しました
Verify return code: 20 (unable to get local issuer certificate)
ただし、古いバージョンの 1 つ、つまり OpenSSL 0.9.8e-fips-rhel5 で同じコマンドを試したところ、期待どおりに成功しました。ここで何か不足していますか?しばらくopensslの問題で立ち往生しているので、私が得ることができる助けを大いに感謝します. よろしくお願いします。
よろしく
ハリ
OpenSSL検証ページから
20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY: ローカル発行者証明書を取得できません
発行者証明書が見つかりませんでした: これは、信頼されていない証明書の発行者証明書が見つからない場合に発生します。
ご想像のとおり、これは CA がロードまたは検証に失敗したことを意味します。これはさまざまな理由で発生する可能性がありますが、ここに良いチェックリストがあります。
両方のバージョンで verify コマンドを使用してみて、同じエラーが発生するかどうかを確認してください。
openssl verify -CAfile cacert.pem -CApath ./
ファイルの欠落/置き忘れ。実行してから、そのフォルダーで何かが変更された可能性があります。
これは機能というよりはバグに近いですが、文書化されている限りは機能です ;-)
c_rehash /etc/ssl/certs