[solved] zimbra + netlock certificate

Segédprogramok

# /opt/zimbra/openssl/bin/openssl verify -purpose sslserver -CAfile netlock.crt commercial.crt
commercial.crt: C = HU, L = Budapest, O = NetLock Kft., OU = Tan\C3\BAs\C3\ADtv\C3\A1nykiad\C3\B3k (Certification Services), CN = NetLock Expressz (Class C) Tan\C3\BAs\C3\ADtv\C3\A1nykiad\C3\B3
error 2 at 1 depth lookup:unable to get issuer certificate


# openssl verify -purpose sslserver -CAfile netlock.crt commercial.crt
commercial.crt: OK

Ilyen esetben mit lehet tenni?

Ubuntu 12.04

Es valoban pebkac volt ez is. Az intermediate ca jo volt, de a root ca nem. A kerdes, hogy hogy a francba, amikor azt a netlock-tol toltottem le.
Ill. ha jol latom a problemat, akkor egesz pontosan miert a Gold root certificate kell es mert nem a Class C?
Akkor hova kell az?

  • 4394 megtekintés

( Vizibirka | 2014. 07. 14., h – 17:42 )

hiányzik neki a netlock root ca cert. (a netlock express az csak subca!, nem ő a root)

Nem tudom, tippem van, de nem akarlak félrevezetni.
Az openssl manja szerint a CAFile-nál, ha láncolt CA-k vannak (márpedig itt azok vannak), akkor ha összemásolod egy fájlba a subca és a root ca certjét akkor végig fogja tudni ellenőrizni a láncot, próbáld ki.

-CAfile file
A file of trusted certificates. The file should contain multiple certificates in PEM format concatenated together.

*Tipp: a zimbrában a -partial_chain opció máshogy van állítva, más ötletem nincs.

> Az openssl manja szerint a CAFile-nál, ha láncolt CA-k vannak (márpedig itt azok vannak), akkor ha összemásolod egy fájlba a subca és a root ca certjét akkor végig fogja tudni ellenőrizni a láncot, próbáld ki.

Igen, a neltock.crt ezt tartalmazza. Az elso az intermediate, a masodik as root ca. Bar probaltam mar forditva is.

> *Tipp: a zimbrában a -partial_chain opció máshogy van állítva, más ötletem nincs.

Jaa, hogy a default config mas lehet. Jo otlet, megnezem, 10x.
Megtortent, az openssl.cnf ugyanaz mindkettonel.