Los últimos dos días he estado intentando solucionar el problema del certificado SSL en nuestros servidores.
Tenemos dos servidores A y B, pude conectar A con B pero B cambió el certificado SSL. Compartieron esta clave y la importamos, pero cuando intento conectar BI, obtengo
$ openssl s_client -CApath /etc/ssl/certs/ -connect B:443
verify error:num=10:certificate has expired
notAfter=Sep 17 12:00:00 2021 GMT
Entonces esto todavía es viejo. Luego trato de entender si no puedo importar un nuevo archivo .crt y si aún es uno antiguo.
$ openssl x509 -in B.crt -noout -dates
notBefore=Aug 4 00:00:00 2021 GMT
notAfter=Aug 4 23:59:59 2022 GMT
No, como ves el certificado es nuevo y válido. Entonces intenté usarlo para probar la conexión a B.
$ openssl s_client -connect B:443 -CAfile B.crt
Pero todavía regresa
verify error:num=10:certificate has expired
notAfter=Sep 17 12:00:00 2021 GMT
¿Qué debería hacer ahora?
Respuesta1
$ openssl s_client -CApath /etc/ssl/certs/ -connect B:443 verify error:num=10:certificate has expired notAfter=Sep 17 12:00:00 2021 GMT
Entonces B envía un certificado caducado. Según comentarios envían un certificado válido cuando usas el SNI para solicitar el certificado del nombre B.
Obviamente, la solución es utilizar SNI, ya que esto es lo que B ha probado e implementado.