Avvertenza OpenSSL durante l'utilizzo del command di destinazione x509

Ho cercato di trovare la mia CA principale oggi e ho passato tutti i miei certificati usando openssl x509 -in /path/to/certificate -purpose .

Come ho trovato quello che dovrebbe essere la mia radice CA ho ottenuto questa output:

  • Consenti agli utenti di installare i certificati nella propria home directory?
  • Connessione a HTTPS con netcat (nc)
  • libssl.so.0.9.8 su ec2
  • Nginx e openSSL confono per utilizzare i protocolli TLS più recenti
  • Does Heartbleed influenza il bilanciatore di carico elastico di AWS?
  • Postfix e OpenSSL: "Imansible get il certificato di emittente locale"
  •  Certificate purposes: SSL client : Yes SSL client CA : Yes (WARNING code=3) SSL server : Yes SSL server CA : Yes (WARNING code=3) Netscape SSL server : Yes Netscape SSL server CA : Yes (WARNING code=3) S/MIME signing : Yes S/MIME signing CA : Yes (WARNING code=3) S/MIME encryption : Yes S/MIME encryption CA : Yes (WARNING code=3) CRL signing : Yes CRL signing CA : Yes (WARNING code=3) Any Purpose : Yes Any Purpose CA : Yes OCSP helper : Yes OCSP helper CA : Yes (WARNING code=3) Time Stamp signing : No Time Stamp signing CA : Yes (WARNING code=3) 

    Sembra che alcune parti di Linux oi suoi strumenti non siano così documentati come un pensiero. Non potrebbe trovare risposta a questa domanda, nemless questo sito potrebbe risolverlo tre anni fa ( OpenSSL WARNINGS quando si usa il command -purpose ).

    Spero che i tempi siano cambiati e che qualcuno qui sia in grado di rispondere alla domanda che cosa riguarda il WARNING code=3 . Forse anche fornendo un elenco di tutti i messaggi di avviso possibili e la loro causa, se esiste.

  • Avvertenza OpenSSL durante l'utilizzo del command di destinazione x509
  • One Solution collect form web for “Avvertenza OpenSSL durante l'utilizzo del command di destinazione x509”

    È questa la tua CA root autorizzata o una vecchia Verisign V1 Root CA o simile? Perché questo genererebbe un avviso. Dal manuale ( enfasi mine)

    La flag CA di estensione basicConstraints viene utilizzata per determinare se il certificato può essere utilizzato come CA. Se la flag CA è true, allora è una CA, se la flag CA è falsa, allora non è una CA. Tutte le CA dovrebbero avere la bandiera CA impostata su true.

    Se l'estensione basicConstraints è assente allora il certificato è considerato come "CA ansible" altre estensioni vengono controllate in base all'uso previsto del certificato. In questo caso viene fornito un avviso perché il certificato non dovrebbe veramente essere considerato come un CA: tuttavia è consentito essere CA per lavorare con alcuni software rotto.

    Se il certificato è un certificato V1 (e quindi non dispone di estensioni) ed è autoscritto è anche assunto come CA ma viene nuovamente dato un avviso : questo è quello di aggirare il problema delle radici di Verisign che sono certificati self-signed V1 .

    Il code=3 potrebbe avere a che fare con il fatto che mancano le estensioni X509 v3 . Alless questo è ciò che una scansione rapida del codice suggerisce:. /crypto/x509v3/v3_purp.c :

     /*- * CA checks common to all purposes * return codes: * 0 not a CA * 1 is a CA * 2 basicConstraints absent so "maybe" a CA * 3 basicConstraints absent but self signed V1. * 4 basicConstraints absent but keyUsage present and keyCertSign asserted. */ 

    Scaricare un paio di vecchi certificati root di VeriSign riproduce i tuoi avvertimenti:

     wget https://www.symantec.com/content/en/us/enterprise/verisign/roots/Class-3-Public-Primary-Certification-Authority-G2.pem openssl x509 -purpose -in Class-3-Public-Primary-Certification-Authority-G2.pem Certificate purposes: SSL client : Yes SSL client CA : Yes (WARNING code=3) SSL server : Yes SSL server CA : Yes (WARNING code=3) Netscape SSL server : Yes Netscape SSL server CA : Yes (WARNING code=3) S/MIME signing : Yes S/MIME signing CA : Yes (WARNING code=3) S/MIME encryption : Yes S/MIME encryption CA : Yes (WARNING code=3) CRL signing : Yes CRL signing CA : Yes (WARNING code=3) Any Purpose : Yes Any Purpose CA : Yes OCSP helper : Yes OCSP helper CA : Yes (WARNING code=3) -----BEGIN CERTIFICATE----- MIIDAjCCAmsCEH3Z/gfPqB63EHln+6eJNMYwDQYJKoZIhvcNAQEFBQAwgcExCzAJ BgNVBAYTAlVTMRcwFQYDVQQKEw5WZXJpU2lnbiwgSW5jLjE8MDoGA1UECxMzQ2xh c3MgMyBQdWJsaWMgUHJpbWFyeSBDZXJ0aWZpY2F0aW9uIEF1dGhvcml0eSAtIEcy MTowOAYDVQQLEzEoYykgMTk5OCBWZXJpU2lnbiwgSW5jLiAtIEZvciBhdXRob3Jp emVkIHVzZSBvbmx5MR8wHQYDVQQLExZWZXJpU2lnbiBUcnVzdCBOZXR3b3JrMB4X DTk4MDUxODAwMDAwMFoXDTI4MDgwMTIzNTk1OVowgcExCzAJBgNVBAYTAlVTMRcw FQYDVQQKEw5WZXJpU2lnbiwgSW5jLjE8MDoGA1UECxMzQ2xhc3MgMyBQdWJsaWMg UHJpbWFyeSBDZXJ0aWZpY2F0aW9uIEF1dGhvcml0eSAtIEcyMTowOAYDVQQLEzEo YykgMTk5OCBWZXJpU2lnbiwgSW5jLiAtIEZvciBhdXRob3JpemVkIHVzZSBvbmx5 MR8wHQYDVQQLExZWZXJpU2lnbiBUcnVzdCBOZXR3b3JrMIGfMA0GCSqGSIb3DQEB AQUAA4GNADCBiQKBgQDMXtERXVxp0KvTuWpMmR9ZmDCOFoUgRm1HP9SFIIThbbP4 pO0M8RcPO/mn+SXXwc+EY/J8Y8+iR/LGWzOOZEAEaMGAuWQcRXfH2G71lSk8UOg0 13gfqLptQ5GVj0VXXn7F+8qkBOvqlzdUMG+7AUcyM83cV5tkaWH4mx0ciU9cZwID AQABMA0GCSqGSIb3DQEBBQUAA4GBAFFNzb5cy5gZnBWyATl4Lk0PZ3BwmcYQWpSk U01UbSuvDV1Ai2TT1+7eVmGSX6bEHRBhNtMsJzzoKQm5EWR0zLVznxxIqbxhAe7i F6YM40AIOw7n60RzKprxaZLvcRTDOaxxp5EJb+RxBrO6WVcmeQD2+A2iMzAo1KpY oJ2daZH9 -----END CERTIFICATE----- 
    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.