SSL：当我通过浏览器检查时，我得到了购买的 godaddy 证书，但是当我使用 openssl 检查时，我得到了自签名证书？

Question

我有一个网站，该网站拥有 Godaddy 提供的有效通配符证书。当我在浏览器中查看它时，我获得了一个有效的安全证书（绿色挂锁），当我在浏览器中检查证书时，它显示安全并由 godaddy 签名，一切看起来都正常。

但是，如果我使用 openssl s_client -connect my.site.com:443

我会得到一个自签名证书：

发行人=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd

我不明白这是为什么。我的一些用户似乎存在问题，他们的浏览器中存在 ssl 自签名错误，我认为这与此有关。

我正在使用 Ubuntu 11.04 和 apache2。有什么想法为什么会出现这种情况，或者我如何进一步检查这个问题？

Answer 1

OpenSSL 的一般问题是它没有预先配置一组受信任的 CA 证书（与您的浏览器不同）。 您需要使用-CApath或-CAfile指定它。

您的用户可能面临的另一个常见问题是您可能缺少中间 CA 证书。服务器提供的证书链（您确实可以使用 openssl s_client 检查，如果您想要完整的详细信息，可能使用 -showcerts）需要以正确的顺序显示，从主机证书到根 CA（不包括根 CA，尽管我在实践中注意到拥有它并没有什么坏处），因此一个证书的颁发者 DN 是下一个证书的主题 DN（直到颁发者 DN 是主题）您信任的 CA 之一的 DN）。