Nos últimos dois dias tenho tentado corrigir problemas de certificado SSL em nossos servidores.
Temos dois servidores A e B, consegui conectar A a B, mas B alterou o certificado SSL. Eles compartilharam essa chave e nós a importamos, mas quando tento conectar o BI estou recebendo
$ openssl s_client -CApath /etc/ssl/certs/ -connect B:443
verify error:num=10:certificate has expired
notAfter=Sep 17 12:00:00 2021 GMT
Então isso ainda é antigo. Então tento entender se não consegui importar o novo arquivo .crt e se ainda é antigo.
$ openssl x509 -in B.crt -noout -dates
notBefore=Aug 4 00:00:00 2021 GMT
notAfter=Aug 4 23:59:59 2022 GMT
Não, como você pode ver, o certificado é novo e válido. Então tentei usá-lo para testar a conexão com B.
$ openssl s_client -connect B:443 -CAfile B.crt
Mas ainda retorna
verify error:num=10:certificate has expired
notAfter=Sep 17 12:00:00 2021 GMT
O que eu deveria fazer agora?
Responder1
$ openssl s_client -CApath /etc/ssl/certs/ -connect B:443 verify error:num=10:certificate has expired notAfter=Sep 17 12:00:00 2021 GMT
Então B envia um certificado expirado. Segundo comentários, eles enviam um certificado válido quando você usa o SNI para solicitar o certificado para o nome B.
A solução obviamente é usar SNI, pois foi isso que B testou e implementou.