SSL ルート CA 証明書は信頼ストアに存在しますが、認識されません。なぜでしょうか?

OpenSSLは少なくとも現在のバージョン（1.0.2a）ではバグs_client引数なし-CA{path,file}​実際にはデフォルトのトラストストアは使用されない本来そうであるべきであり、そのためそのトラストストアに従って有効な証明書を検証できません。(およびですs_serverがs_time、それらの検証を気にすることはまれです。) を参照してください。https://serverfault.com/questions/607233/how-to-make-openssl-s-client-using-default-ca。 修正は開発版で発表されていますが、リリースおよび配布にはしばらく時間がかかる可能性があります。 それまでの間、-CA*引数を明示的に指定する必要があります。 にはこのバグがないため、証明書/チェーンが有効であると正しく報告されていることに注意してくださいopenssl verify。

アップデート2015/08/26:修正がリリースされました2015/06/12 1.0.1oと1.0.2c。また、他のことを調査しているときに、RedHatパッケージは問題なかったかもしれないより具体的には、CentOS ソース RPM はopenssl-1.0.1e-30.el6.11RedHat のコピーであると理解していますが (簡単には確認できません)、 2012/12/06 日付openssl-1.0.1c-default-paths.patchの変更が含まれておりs_client.c s_server.c s_time.c、これは 2015/06/12 のアップストリーム修正と同等 (ただし、テキストは同じではありません) のようです。このパッチが RedHat および CentOS パッケージに適用されたと仮定すると (簡単に戻って確認することはできません)、期待どおりに動作するはずです。

最近、Ruby を使用してスクリプトを開発しているときに、Comodo 証明書に関する同様の問題に直面しました。結局のところ、OpenSSL のストアには証明書があるように見えても、実際にはなかったのです。

これをテストするには、Comodo 中間証明書をすべてダウンロードし、次のような証明書バンドルを作成します (ダウンロードした内容に応じて異なる証明書名を使用する必要があります)。

cat EssentialSSLCA_2.crt ComodoUTNSGCCA.crt UTNAddTrustSGCCA.crt AddTrustExternalCARoot.crt > yourDomain.ca-bundle

Comodo には、これを行う方法に関する記事があります。

完了したら、OpenSSL を使用してコマンド ラインで証明書ストアを指定して、証明書を再度検証します。

openssl verify -untrusted yourDomain.ca-bundle cert.pem

この例は、このUnixとLinuxのStackExchangeの記事。

どの証明書であるかを決定したら、その証明書をローカル証明書ストアに追加できるようになります。Ubuntuの詳細については、こちらをご覧ください、次のような内容です。

/usr/share/ca-certificatesに追加のCA証明書用のディレクトリを作成します。

sudo mkdir /usr/share/ca-certificates/extra

'.crt'ファイルをディレクトリにコピーします

sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt

Ubuntuで、/usr/share/ca-certificatesからの相対パス「.crt」ファイルを/etc/ca-certificates.confに追加します。

sudo dpkg-reconfigure ca-certificates

Comodo ルート証明書は信頼されなくなりました。理由が分からない場合は、「Comodo 盗難証明書」を Google で検索してください。

Comodo 証明書は安価かもしれませんが、その価値はその価格よりもはるかに低くなります。つまり、事実上価値がなく、信頼の連鎖が壊れているのです。