Sto semplicemente cercando di creare un certificato autofirmato. Ho creato un certificato radice da cui ho creato
- chiave del server + cert e
- chiave del cliente + cert
Durante la connessione al server TLS installato con chiave server + cert server,
il client non riesce con il messaggio Peer's Certificate issuer is not recognized
.
Per eseguire il debug quando voglio verificare il mio certificato di root stesso, ottengo error 18 at 0 depth lookup
.
Il link menzioni "# 2 potrebbe essere perché il certificato è autofirmato e non attendibile" ma non sono sicuro di come posso verificare il certificato di origine.
Di seguito è la mia configurazione per creare il certificato radice,
root-ca.config
[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn
[ dn ]
C=US
ST=Seattle
L=Seattle
O=Duwamish
OU=SC
[email protected]
CN =localhost
cert
openssl req -newkey rsa:1024 -sha1 -keyout rootkey.pem -out rootreq.pem -config root-ca.conf
openssl x509 -req -in rootreq.pem -sha1 -signkey rootkey.pem -out rootcert.pem
Poi ho copiato il certificato di root in /etc/pki/tls/certs/
(Redhat os).
cp rootcert.pem /etc/pki/tls/certs/
sudo update-ca-trust extract
[root@ip-172-18-20-233 conf3]# ll /etc/pki/tls/certs
total 24
lrwxrwxrwx 1 root root 49 Apr 17 07:59 ca-bundle.crt -> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
lrwxrwxrwx 1 root root 55 Apr 17 07:59 ca-bundle.trust.crt -> /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt
-rwxr-xr-x 1 root root 610 Feb 28 2017 make-dummy-cert
-rw-r--r-- 1 root root 2388 Feb 28 2017 Makefile
-rwxr-xr-x 1 root root 829 Feb 28 2017 renew-dummy-cert
-rw-r--r-- 1 ec2-user ec2-user 1688 Aug 31 22:58 restapi-root-ca.cert
-rw-r--r-- 1 root root 1342 Sep 1 05:58 restapi-server.cert
-rw-r--r-- 1 root root 944 Sep 1 08:00 rootcert.pem
Verifica
openssl verify rootcert.pem
rootcert.pem: /C=US/ST=Seattle/L=Seattle/O=Duwamish/OU=SC/[email protected]/CN=localhost
error 18 at 0 depth lookup:self signed certificate
OK