从 OpenSSL 切换到 GNUTLS，关于证书路径的疑问。

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 2832 天前的主题，其中的信息可能已经有所发展或是发生改变。

OpenSSL 模式下各个证书路径，运行正常：

SSLEngine on
SSLCertificateFile "/usr/local/httpd/ssl/server.crt"
SSLCertificateKeyFile "/usr/local/httpd/ssl/server.key"
SSLCACertificateFile "/usr/local/httpd/ssl/server.ca.crt"

GnuTLS 模式下证书路径，搜索半天，不知怎么设置 server.ca.crt ，如果不设置，会报错“ SEC_ERROR_BAD_SIGNATURE ”

GnuTLSEnable on
GnuTLSPriorities NORMAL
GnuTLSCertificateFile /usr/local/httpd/ssl/server.crt
GnuTLSKeyFile /usr/local/httpd/ssl/server.key

多谢！

4 条回复 • 2016-07-19 00:23:21 +08:00

talas

2016-07-18 14:08:26 +08:00

解决了，证书路径我没对应好。

只是仍然不明白， server.ca.crt 这个证书在 GnuTLS 模式下是不必要的么？

talas

2016-07-18 14:12:16 +08:00

还有疑问： OpenSSL 的配置有很多行，而 GNUTLS 只有几行就实现了，这个有什么影响么？

talas

2016-07-18 23:17:34 +08:00

可能是我没有将 Let ’ s Encrypt 的中间证书追加到生成的域名证书的末尾导致的。

这样第一个问题就解决了。一会验证一下。

talas

2016-07-19 00:23:21 +08:00

验证了，追加中间证书后生成 chained.pem 替换 signed.crt ，重启 httpd 。

再测试，也不会报错“ ERROR: cannot verify aray.org's certificate, issued by ‘/C=US/O=Let's encrypt/CN=Let's Encrypt Authority X3 ’: Unable to locally verify the issuer's authority.”