OpenSSL - 0 深度查找错误 18：自签名证书

Question

我正在尝试创建一个 SSL 证书以与 MySQL 一起使用，如下所述： http://dev.mysql.com/doc/refman/5.5/en/creating-ssl-certs.html

验证证书时出现以下错误

  # openssl verify -CAfile ca-cert.pem server-cert.pem client-cert.pem
    server-cert.pem: C = IN, ST = KERALA, L = COCHIN, O = ABCD, OU = OPERATIONAL, CN = SATHISH, emailAddress = sathish@abcd.com
    error 18 at 0 depth lookup:self signed certificate
    OK
    client-cert.pem: C = IN, ST = KERALA, L = COCHIN, O = ABCD, OU = OPERATIONAL, CN = sathish, emailAddress = sathish@abcd.com
    error 18 at 0 depth lookup:self signed certificate
    OK

有人可以根据上面链接中的文档帮助我生成密钥而不会出现任何错误。

Answer 1

我想你错过了这部分说明：

无论您使用哪种方法生成证书和密钥文件，用于服务器和客户端证书/密钥的公用名称值都必须与用于CA证书的公用名称值不同。 否则，证书和密钥文件将不适用于使用OpenSSL编译的服务器。

当OpenSSL提示您输入每个证书的公用名时，请使用不同的名称。

Answer 2

当您使用创建证书和密钥的openssl命令时，它会要求您填写一些字段，您会遇到如下所示的Common Name选项：

Common Name (e.g. server FQDN or YOUR name) []: 

在这种情况下，您需要每次都提供不同的名称，而不是让它使用默认值。

例如：

CA 证书：app-ca-cert。

服务器证书：应用程序服务器证书。

客户端证书：app-client-cert。

正如指南所解释的

重要的

无论您使用什么方法生成证书和密钥文件，用于服务器和客户端证书/密钥的 Common Name 值都必须不同于用于 CA 证书的 Common Name 值。 否则，证书和密钥文件不适用于使用 OpenSSL 编译的服务器。