OpenSSL - 0 深度查找錯誤 18：自簽名證書

Question

我正在嘗試創建一個 SSL 證書以與 MySQL 一起使用，如下所述： http://dev.mysql.com/doc/refman/5.5/en/creating-ssl-certs.html

驗證證書時出現以下錯誤

  # openssl verify -CAfile ca-cert.pem server-cert.pem client-cert.pem
    server-cert.pem: C = IN, ST = KERALA, L = COCHIN, O = ABCD, OU = OPERATIONAL, CN = SATHISH, emailAddress = sathish@abcd.com
    error 18 at 0 depth lookup:self signed certificate
    OK
    client-cert.pem: C = IN, ST = KERALA, L = COCHIN, O = ABCD, OU = OPERATIONAL, CN = sathish, emailAddress = sathish@abcd.com
    error 18 at 0 depth lookup:self signed certificate
    OK

有人可以根據上面鏈接中的文檔幫助我生成密鑰而不會出現任何錯誤。

Answer 1

我想你錯過了這部分說明：

無論您使用哪種方法生成證書和密鑰文件，用於服務器和客戶端證書/密鑰的公用名稱值都必須與用於CA證書的公用名稱值不同。 否則，證書和密鑰文件將不適用於使用OpenSSL編譯的服務器。

當OpenSSL提示您輸入每個證書的公用名時，請使用不同的名稱。

Answer 2

當您使用創建證書和密鑰的openssl命令時，它會要求您填寫一些字段，您會遇到如下所示的Common Name選項：

Common Name (e.g. server FQDN or YOUR name) []: 

在這種情況下，您需要每次都提供不同的名稱，而不是讓它使用默認值。

例如：

CA 證書：app-ca-cert。

服務器證書：應用程序服務器證書。

客戶端證書：app-client-cert。

正如指南所解釋的

重要的

無論您使用什么方法生成證書和密鑰文件，用於服務器和客戶端證書/密鑰的 Common Name 值都必須不同於用於 CA 證書的 Common Name 值。 否則，證書和密鑰文件不適用於使用 OpenSSL 編譯的服務器。