Невозможно проверить первый сертификат

Question

Невозможно проверить первый сертификат

Я использую openssl для создания самоподписанного сертификата CA в Ubuntu GNOME 16.04 и использую этот сертификат CA для подписи сертификата для postfix и httpd, но при использовании tls для подключения postfix команда была:

openssl s_client -connect xiedeacc.com:587 -starttls smtp

это будет жаловаться

и он возвращает:

verify error:num=21:unable to verify the first certificate
Verify return code: 21 (unable to verify the first certificate)

но при изменении команды на

openssl s_client -connect xiedeacc.com:587 -starttls smtp -CAfile /etc/ssl/certs/xiedeaccca.crt

с выводом все было в порядке, без проблем, так что я полагаю, что openssl s_client не может найти этот самозаверяющий CA, но chrome может посетить этот подписанный CA сайт после того, как я вручную импортирую его в корневой список сертификатов chrome. Итак, как импортировать его в корневой список сертификатов Ubuntu, а не только в корневой список сертификатов Chrome? Хранит ли Ubuntu CA сертификаты как windows?

2

postfix openssl self-signed

Источник

user3054879 10 сен '17 в 06:16

1 ответ

Другие вопросы по тегам postfix openssl self-signed

Cynplytholowazy 10 сен '17 в 06:23 2017-09-10 06:23 · Answer 1 · 2017-09-10 06:23

Чтобы импортировать самозаверяющий CA в корневой список сертификатов Ubuntu, вам нужно настроить ca-certificates:

Сначала создайте каталог с именем /usr/share/ca-certificates/extra:

sudo mkdir /usr/share/ca-certificates/extra`

Затем скопируйте ваш сертификат CA в каталог:

sudo cp /etc/ssl/certs/xiedeaccca.crt /usr/share/ca-certificates/extra/xiedeaccca.crt

Наконец, перенастроить ca-certificates:

sudo dpkg-reconfigure ca-certificates

Нажмите Space чтобы выбрать свои самозаверяющие сертификаты CA, и все готово.