Openssl s_Client 在 0.9.8r 中不验证证书

Question

我正在使用 openssl v0.9.8r 并且尝试运行此命令（在我运行的目录中 CA 文件名为 cacert.pem）

openssl s_client -CAfile cacert.pem -CApath ./ -connect mail .google.com:443

验证失败，如下

验证返回代码：20（无法获取本地颁发者证书）

但是，当我在旧版本之一上尝试相同的命令时，即OpenSSL 0.9.8e-fips-rhel5 它按预期成功。我在这里错过了什么吗？我非常感谢我能得到的任何帮助，因为我已经被 openssl 问题困扰了一段时间了。预先非常感谢。

问候

哈里

Answer 1

从 OpenSSL 验证 页面

20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY：无法获取本地
颁发者证书

无法找到颁发者证书：如果颁发者证书会出现这种情况
找不到不受信任的证书的证书。

正如您所猜测的，这意味着 CA 无法加载或验证。这可能是由多种原因引起的，但这里有一个很好的清单。

• 权限。在 Linux 上尝试 sudo。在 Windows 上尝试“以管理员身份运行”。

• 尝试对两个版本使用 verify 命令，看看是否出现相同的错误。

  openssl verify -CAfile cacert.pem -CApath ./

• 丢失/放错位置的文件。自运行以来，该文件夹中的某些内容可能已发生更改。

• 小路。尝试从从 OpenSSL 0.9.8e-fips-rhel5 运行命令时所在的同一目录运行该命令。

Answer 2

这个更接近于错误而不是功能，但只要我们记录它，它就是一个功能;-)

c_rehash /etc/ssl/certs