[ubuntu-jp:5810] Re: opensslが参照するルート証明書の所在情報

[Hiroshi Kubo]

課題は無事解決しました。ご報告します。

From: Hiroshi Kubo <hkubo ＠ ba2.so-net.ne.jp>
Date: Wed, 10 May 2017 11:13:31 +0900 (JST)

> opensslにルート証明書の所在を教えるにはどうすればいいか。このご
> 相談です。Ubuntu 14.04 LTSのユーザです。

> ~$ openssl s_client -connect pop.so-net.ne.jp:995 -showcerts >/tmp/log
> depth=1 C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 3 EV SSL CA - G3
> verify error:num=20:unable to get local issuer certificate
> verify return:0
> ^C
> 
> ssl接続してくれません。理由は，ルート証明書がないことです。

> update-ca-certificatesを実行するとルート証明書を更新できます。具
> 体的には/etc/ssl/certsとcertificates.crtが更新されます。しかし，
> 更新してもそのことはopensslに伝わらないようです。
> 
> 私がご相談したいのは，ルート証明書の所在をopensslに教えるの
> に-CAfileアーギュメントを使うしか手がないのか。この疑問です。ルー
> ト証明書を保存する場所のデフォルトがあってよいし，その場所を伝え
> るための設定ファイルがあってよいと思うのですが。

答は：

Ubuntu 14.04 LTSの場合，

$ openssl s_client -connect pop.so-net.ne.jp:995 -quiet -CApath /etc/ssl/certs

とするしかなさそうです。

-CAfileオプションでもかまいませんが-CApathオプションの方が簡便で
 す。

---久保