1. ホーム
  2. ssl

[解決済み] チェーン処理中にローカル発行者証明書を取得できない

2022-02-13 22:46:23

質問

私はDigiCertによって署名された秘密鍵(my_ca.key)と公開鍵(my_cert.crt)を持っているのですが、この鍵はどのように使用するのですか?現在、私はRA(登録機関)を作成し、私の秘密鍵によってそれを署名したいと思います。以下は、私が試した方法です。しかし、秘密鍵と公開鍵をpkcs12ファイルとしてエクスポートしようとすると、次のようなエラーが発生します。 ローカル発行者証明書取得チェーンが取得できない . どうすればいいのかわかりません。ここでは、my_cert.crt は次のように拡張されています。 デジサート・ハイ・アシュアランスCA-3 から拡張されたもので、こちらは DigiCert High Assurance EV ルート CA

 SSL_SUBJ="/C=LK/ST=Colombo/L=Colombo/O=Nope/OU=mobile/CN=My root"

 openssl genrsa -out ra.key 4096
 openssl req -new -key ra.key -out ra.csr -subj "$SSL_SUBJ"
 openssl x509 -req -days 365 -in ra.csr -CA my_cert.pem -CAkey my_ca.pem -  set_serial 76964474 -out ra.crt 
 openssl rsa -in ra.key -text > ra_private.pem
 openssl x509 -in ra.crt -out ra_cert.pem


 openssl pkcs12 -export -out ca.p12 -inkey my_ca.pem -in my_cert.pem -name "cacert" -passout pass:password
 openssl pkcs12 -export -out ra.p12 -inkey ra_private.pem -in ra_cert.pem -  chain -CAfile my_cert.pem -name "racert" -passout pass:password

解決方法は?

通常、公開 CA が発行した証明書は、クライアントまたはサーバーのトラフィック以外の署名には使用できません。RA に使用することはできません。

エラーメッセージは、中間証明書に問題があることを示しています。pkcs12 にエクスポートする前に、Digicert の両方の証明書を my_cert.pem ファイルに追加していることを確認してください。