ubuntu – OpenSSL无法获取本地颁发者证书,除非明确指定CAfile

原文

我正在尝试从ubuntu服务器连接到Apple的Push Notification服务,用于应用程序.我已经成功地生成了我正在使用的pyAPNS提供商所需的组合.pem证书.但是,当我尝试使用openssl验证验证证书时,我会在0深度查找中获取错误20:无法获取本地颁发者证书.如果我明确指定证书颁发机构(openssl verify apns.pem -CAfile entrust_2048_ca.pem),我已经明确地在系统上安装了entrust证书,如下所示:“将证书导入系统级证书”权限数据库“,根据我的理解 this page,一切都是应该的(证书在/usr/lib / ssl / certs中,并且有一个带有哈希的符号链接).

如果我尝试使用openssl s_client连接到APNS本身,同样的情况:如果我明确指定CAfile,但是似乎连接好了,否则不会. PyAPNS告诉我它无法连接到APNS服务器,我只能认为这是同样的原因.

默认情况下,如何让OpenSSL识别entrust证书颁发机构,而不是每次都明确指定?我在某处失踪了吗?

OpenSSL使用证书颁发者DN的散列来查找安装CA证书的默认目录中的文件.

见OpenSSL verify documentation:

-CApath directory

A directory of trusted certificates. The certificates should have names of the form: hash.0 or have symbolic links to them of this form
(“hash” is the hashed certificate subject name: see the -hash option
of the x509 utility). Under Unix the c_rehash script will
automatically create symbolic links to a directory of certificates.

这些哈希值将来自每个CA证书的主题DN(因为目的是查找与证书颁发者匹配的主题进行验证的CA证书).您可以使用c_rehash作为记录,或者使用openssl x509 -subject_hash -noout -in cacert.pem获取主题DN的哈希值,并相应地重命名文件/链接.

要验证的证书的直接颁发者可能不是根CA证书:链中可能有一个中间CA证书.您还需要确保使用中间证书.

另外,有两种不同的散列格式(自OpenSSL版本1.0以来有变化),但是值得使用-subject_hash_old和-subject_hash进行链接,尽管默认情况下OpenSSL本身只能使用其新格式.

ubuntu – OpenSSL无法获取本地颁发者证书,除非明确指定CAfile的更多相关文章

  1. ios – 找不到lcrypto的库

    我正在尝试构建iOSAllJoyn项目,但我遇到了OpenSSL集成的问题.我一直在看这些方向:https://allseenalliance.org/docs-and-downloads/documentation/configuring-build-environment-ios-and-osx#unique_16我已经按照指示一直到XcodeIDEBuild,但现在我收到一个错误,上面写着:

  2. ios – 如何在RubyMotion中创建字符串的md5哈希

    我有一封电子邮件,想从gravatar.com中提取相应的图片使用ruby,很容易:由于RubyMotion中没有require方法,如何从电子邮件生成哈希?解决方法一种可能性是使用“NSDataMD5”cocoapod.通过将其添加到您的Rakefile来安装它:然后你可以像这样使用它:

  3. Swift- 枚举中的rawValue和hashValue

    成员值仅仅是一组抽象的符号,不能参与任何运算,也不代表任何数据类型!4)原始值的推断:在Swift中只有Int型的原始值可以推断,其余类型包括Double、String、Character类型都无法在原始值中推断;这里的推断是指不用给出所有成员值的原始值而只需要给定一部分即可,其余的原始值Swift可以自动推断出,但是这里就只有Int类型的支持原始值推断,而推断的方法和C语言的枚举类型一样:enumWeekDays:Int{

  4. Swift开篇004->集合

    如有错误和疑问,欢迎指正提出。

  5. android – 会话提供给未打开状态的请求

    FacebookSDK3.0中的Facebook好友选取器示例显示错误拨号框.消息框说:‘com.facebook.Facebook异常:为未打开状态的请求提供的会话.解决方法我有这个确切的错误,如果你从Eclipse运行它,那么logcat中很可能会有更详细的错误.对我来说,我发现真正的错误是我的Android哈希键与我提供给Facebook的哈希键不匹配.仔细检查您使用的哈希键是否正确.请参阅

  6. 有关适用于Android的Facebook SDK的开发和发布密钥哈希的问题

    如你所知,android使用不同的Keystore进行开发和发布,因为两个密钥库在每个方面都不同,它们都有不同的指纹和SHA-1哈希,因此它们被完全区别对待.问:如果我尚未将我的应用程序发布到PlayStore.我可以使用ReleaseKey而不是使用Development键吗?如果你担心Facebook密钥,附加是图像问:为什么我们为iOS开发时,不需要那些关键的哈希?

  7. 我的Android项目的FIPS合规性

    我正在开发一个与安全相关的项目,并且必须确保它符合FIPS标准.根据我的理解,FIPS合规性是硬件和软件级别的合规性.目前有2款三星Android设备符合FIPS标准,即它们在硬件和软件级别都具有合规性.我的问题如下:–1)如果我想让我的Android应用程序符合FIPS标准,如果我在我的项目FIPS兼容中使用了唯一的加密模块,这就够了吗?

  8. 如何以编程方式在Android中安装CA证书(用于EAP WiFi配置)?

    但是,这假定您已在设备上安装了CA证书.我想在我的应用程序中安装证书–从应用程序中的资源,或从服务器发送.这有可能吗?如果是这样,怎么样?>从我的应用程序,有没有办法知道证书安装何时完成,然后重点回到我的应用程序?

  9. 在Android上移植C lib / app

    我想将几个C/C++库移植到Android,它的可行性如何例如OpenSSL可以移植或者假设一个依赖于OpenSSL的应用程序,当我认为自己拥有libssl.so时,将它移植到Android的最佳方式是什么?什么是可用的工具,例如ScratchBox,还有其他选择吗?

  10. 如何使用Android中的Keytool为W7 32bit生成Keyhash(Facebook)

    name=openssl-0.9.8k_WIN32.zip.然后解压缩文件并运行以下命令:DON是我的系统名称,应替换为您的系统名称.

随机推荐

  1. crontab发送一个月份的电子邮件

    ubuntu14.04邮件服务器:Postfixroot收到来自crontab的十几封电子邮件.这些邮件包含PHP警告.>我已经解决了这些警告的原因.>我已修复每个cronjobs不发送电子邮件(输出发送到>/dev/null2>&1)>我删除了之前的所有电子邮件/var/mail/root/var/spool/mail/root但我仍然每小时收到十几封电子邮件.这些电子邮件来自cronjobs,

  2. 模拟两个ubuntu服务器计算机之间的慢速连接

    我想模拟以下场景:假设我有4台ubuntu服务器机器A,B,C和D.我想在机器A和机器C之间减少20%的网络带宽,在A和B之间减少10%.使用网络模拟/限制工具来做到这一点?

  3. ubuntu-12.04 – 如何在ubuntu 12.04中卸载从源安装的redis?

    我从源代码在Ubuntu12.04上安装了redis-server.但在某些时候它无法完全安装,最后一次makeinstallcmd失败.然后我刚刚通过apt包安装.现在我很困惑哪个安装正在运行哪个conf文件?实际上我想卸载/删除通过源安装的所有内容,只是想安装一个包.转到源代码树并尝试以下命令:如果这不起作用,您可以列出软件自行安装所需的步骤:

  4. ubuntu – “apt-get source”无法找到包但“apt-get install”和“apt-get cache”可以找到它

    我正在尝试下载软件包的源代码,但是当我运行时它无法找到.但是当我运行apt-cache搜索squid3时,它会找到它.它也适用于apt-getinstallsquid3.我使用的是Ubuntu11.04服务器,这是我的/etc/apt/sources.list我已经多次更新了.我尝试了很多不同的debs,并没有发现任何其他地方的错误.这里的问题是你的二进制包(deb)与你的源包(deb-src)不

  5. ubuntu – 有没有办法检测nginx何时完成正常关闭?

    &&touchrestarted),因为即使Nginx没有完成其关闭,touch命令也会立即执行.有没有好办法呢?这样的事情怎么样?因此,pgrep将查找任何Nginx进程,而while循环将让它坐在那里直到它们全部消失.你可以改变一些有用的东西,比如睡1;/etc/init.d/Nginx停止,以便它会休眠一秒钟,然后尝试使用init.d脚本停止Nginx.你也可以在某处放置一个计数器,这样你就可以在需要太长时间时发出轰击信号.

  6. ubuntu – 如何将所有外发电子邮件从postfix重定向到单个地址进行测试

    我正在为基于Web的应用程序设置测试服务器,该应用程序发送一些电子邮件通知.有时候测试是使用真实的客户数据进行的,因此我需要保证服务器在我们测试时无法向真实客户发送电子邮件.我想要的是配置postfix,以便它接收任何外发电子邮件并将其重定向到一个电子邮件地址,而不是传递到真正的目的地.我正在运行ubuntu服务器9.10.先感谢您设置本地用户以接收所有被困邮件:你需要在main.cf中添加:然后

  7. ubuntu – vagrant无法连接到虚拟框

    当我使用基本的Vagrantfile,只配置了两条线:我看到我的虚拟框打开,但是我的流氓日志多次显示此行直到超时:然后,超时后的一段时间,虚拟框框终于要求我登录,但是太久了!所以我用流氓/流氓记录.然后在我的物理机器上,如果我“流氓ssh”.没有事情发生,直到:怎么了?

  8. ubuntu – Nginx – 转发HTTP AUTH – 用户?

    我和Nginx和Jenkins有些麻烦.我尝试使用Nginx作为Jenkins实例的反向代理,使用HTTP基本身份验证.它到目前为止工作,但我不知道如何传递带有AUTH用户名的标头?}尝试将此指令添加到您的位置块

  9. Debian / Ubuntu – 删除后如何恢复/ var / cache / apt结构?

    我在ubuntu服务器上的空间不足,所以我做了这个命令以节省空间但是现在在尝试使用apt时,我会收到以下错误:等等显然我删除了一些目录结构.有没有办法做apt-getrebuild-var-tree或类似的?

  10. 检查ubuntu上安装的rubygems版本?

    如何查看我的ubuntu盒子上安装的rubygems版本?只是一个想法,列出已安装的软件包和grep为ruby或宝石或其他:)dpkg–get-selections

返回
顶部