[ubuntu-jp:5810] Re: opensslが参照するルート証明書の所在情報
Hiroshi Kubo
hkubo @ ba2.so-net.ne.jp
2017年 5月 16日 (火) 13:38:37 UTC
課題は無事解決しました。ご報告します。
From: Hiroshi Kubo <hkubo @ ba2.so-net.ne.jp>
Date: Wed, 10 May 2017 11:13:31 +0900 (JST)
> opensslにルート証明書の所在を教えるにはどうすればいいか。このご
> 相談です。Ubuntu 14.04 LTSのユーザです。
> ~$ openssl s_client -connect pop.so-net.ne.jp:995 -showcerts >/tmp/log
> depth=1 C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 3 EV SSL CA - G3
> verify error:num=20:unable to get local issuer certificate
> verify return:0
> ^C
>
> ssl接続してくれません。理由は,ルート証明書がないことです。
> update-ca-certificatesを実行するとルート証明書を更新できます。具
> 体的には/etc/ssl/certsとcertificates.crtが更新されます。しかし,
> 更新してもそのことはopensslに伝わらないようです。
>
> 私がご相談したいのは,ルート証明書の所在をopensslに教えるの
> に-CAfileアーギュメントを使うしか手がないのか。この疑問です。ルー
> ト証明書を保存する場所のデフォルトがあってよいし,その場所を伝え
> るための設定ファイルがあってよいと思うのですが。
答は:
Ubuntu 14.04 LTSの場合,
$ openssl s_client -connect pop.so-net.ne.jp:995 -quiet -CApath /etc/ssl/certs
とするしかなさそうです。
-CAfileオプションでもかまいませんが-CApathオプションの方が簡便で
す。
---久保
ubuntu-jp メーリングリストの案内