Unable to get local issuer certificate während der Verarbeitung Kette

Habe ich den privaten Schlüssel(my_ca.key) und einem öffentlichen Schlüssel(my_cert.crt), die signiert ist durch DigiCert. Jetzt will ich erstellen, RA(Registration Authority) und Unterschreiben Sie es durch meine privaten Schlüssel . Hier ist die Art und Weise habe ich versucht, das zu tun. Aber wenn ich versuche zu exportieren, private und public key als pkcs12-Datei habe ich immer eine Fehlermeldung wie diese unable to get local issuer certificate erste Kette. Keine Ahnung, wie dieses Problem zu lösen. Hier my_cert.crt-ist erweitert aus DigiCert High Assurance CA-3 und eine erweiterte von DigiCert High Assurance EV Root CA

 SSL_SUBJ="/C=LK/ST=Colombo/L=Colombo/O=Nope/OU=mobile/CN=My root"

 openssl genrsa -out ra.key 4096
 openssl req -new -key ra.key -out ra.csr -subj "$SSL_SUBJ"
 openssl x509 -req -days 365 -in ra.csr -CA my_cert.pem -CAkey my_ca.pem -  set_serial 76964474 -out ra.crt 
 openssl rsa -in ra.key -text > ra_private.pem
 openssl x509 -in ra.crt -out ra_cert.pem


 openssl pkcs12 -export -out ca.p12 -inkey my_ca.pem -in my_cert.pem -name "cacert" -passout pass:password
 openssl pkcs12 -export -out ra.p12 -inkey ra_private.pem -in ra_cert.pem -  chain -CAfile my_cert.pem -name "racert" -passout pass:password

InformationsquelleAutor GPrathap | 2015-03-05

  1. 6

    Sie in der Regel nicht verwenden können, ein Zertifikat von einer öffentlichen ZERTIFIZIERUNGSSTELLE nichts zu Unterschreiben, sondern client-oder server-Verkehr; Sie werden nicht in der Lage, es zu benutzen für Ihre RA.

    Gibt die Fehlermeldung, dass es ein problem mit der intermediate-Zertifikate. Stellen Sie sicher, dass Sie beide Digicert-Zertifikate auf den my_cert.pem-Datei vor dem Export in die pkcs12 -

    Du meinst cat DigiCert.crt my_cert.crt - > my_cert.crt-und als ohne-chain-Schlüsselwort funktioniert Es Aber ohne Kette Flagge ist das richtig ?
    Gut, wenn Sie versuchen, diese bestimmte Katze Befehl, Sie zu zerstören Ihre my_cert.crt-Datei. Ich tun würde: Katze DigiCert.crt my_cert.crt - > my_cert_to_export.crt. Richtig über die -Kette-flag. Sie müssen nur, dass Sie mit Ihrem ra-Zertifikat sowieso; siehe meine Antwort für einige zusätzliche Bedenken.
    Ok danke. Eigentlich habe ich entwickelt SCEP(en.wikipedia.org/wiki/Simple_Certificate_Enrollment_Protocol) - Protokoll für mac os x. So in diesem Fall habe ich zu bieten CA und RA ,Also Wenn ich create self-signed CA-und als RA wäre das der richtige Weg, um dieses Problem zu lösen ?
    Ja. Ein CA-Zertifikat muss als solche gekennzeichnet (siehe tools.ietf.org/html/rfc5280#section-4.2.1.9 ) und setzen Sie es in Ihre CSR -, eine kommerzielle CA ist immer zu löschen, die fahne vor der Unterzeichnung Ihrer CSR. Ein selbst signiertes CA-Zertifikat ist standard; man nennt es ein root-Zertifikat. Natürlich müssen Sie auf hinzufügen, um das Vertrauen speichert, welcher client Zugriff auf Websites geschützt, indem es (D. H., Sie haben, um es in den Web-browser, wenn Sie mit den certs signiert von der ZERTIFIZIERUNGSSTELLE für Web-Seiten).
    danke, darauf hinzuweisen, dass

    InformationsquelleAutor Kevin Keane

Schreibe einen Kommentar