1. дома
  2. Вопрос и ответ
  3. проблема с конфигурацией openssl, которая позволяет только пользователю root правильно проверять сертификаты веб-сервера

проблема с конфигурацией openssl, которая позволяет только пользователю root правильно проверять сертификаты веб-сервера

2017-02-10 27 views
0

, когда я проверяю цепочку сертификатов SSL веб-сервера на моей системе raspbian, например. запустивпроблема с конфигурацией openssl, которая позволяет только пользователю root правильно проверять сертификаты веб-сервера

openssl s_client -connect plumbr.eu:443

Я получаю следующий вывод об ошибке:

CONNECTED(00000003) 
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root 
verify error:num=19:self signed certificate in certificate chain 
verify return:0 
...

Однако, когда я sudo тот же, то все работает отлично:

CONNECTED(00000003) 
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root 
verify return:1 
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority 
verify return:1 
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA 
verify return:1 
depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = *.plumbr.eu 
verify return:1 
...

То же самое касается и некоторых других веб-сайты, которые я тестировал. Я почти уверен, что это не ожидаемое поведение. Кто-нибудь знает, как это исправить, или, по крайней мере, намек на то, где искать? До сих пор поиск существующих решений был неубедительным.

источник

2017-02-10 Till Kolditz

+1

Stack Overflow это сайт для программирования и разработки вопросов. Этот вопрос кажется вне темы, потому что речь идет не о программировании или разработке. См. [Какие темы можно задать здесь] (http://stackoverflow.com/help/on-topic) в Справочном центре. Возможно, лучше сказать [Суперпользователь] (http://superuser.com/) или [Unix & Linux Stack Exchange] (http://unix.stackexchange.com/). Также см. [Где я пишу вопросы о Dev Ops?] (Http://meta.stackexchange.com/q/134306) – jww

+0

@jww да, вы совершенно правы, но я не получил ответа на askubuntu (часть of stackexchange), который должен быть идеальным местом ... :-( –

+1

@TillKolditz - попробуйте [Unix & Linux Stack Exchange] (http://unix.stackexchange.com/) или начните раздачу в Ubuntu Stack Exchange. [ Unix & Linux Stack Exchange] (http://unix.stackexchange.com/) люди очень острые, они, скорее всего, начнут искать разрешения на файловую систему. Вероятно, вы должны опубликовать их, когда задаете вопрос. – jww

ответ

1

Убедитесь, что каталог с доверенными сертификатами имеет доступ для чтения для всех.

В моей системе (Ubuntu) каталог /etc/ssl/certs где AddTrust_External_Root.pem находится имеет доступ для чтения:

$ ls -ld /etc/ssl/certs 
drwxr-xr-x 3 root root 24576 mar 14 2016 /etc/ssl/certs

источник

2017-02-10 19:33:24 oliv

 Смежные вопросы

  • Нет связанных вопросов^_^