首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

运行openssl ocsp时,为什么会出现验证错误:无法获取本地颁发者证书?

运行openssl ocsp时,出现验证错误"无法获取本地颁发者证书"的原因是因为openssl ocsp命令在验证证书链时无法找到本地的颁发者证书。

在使用openssl ocsp命令进行证书验证时,需要提供完整的证书链,包括目标证书和所有中间证书,以及根证书。如果缺少其中任何一个证书,就会导致验证错误。

解决这个问题的方法是确保openssl ocsp命令能够访问到完整的证书链。可以通过以下步骤来实现:

  1. 确认目标证书的完整证书链:使用openssl命令查看目标证书的证书链,例如:openssl s_client -connect <目标服务器>:<端口号> -showcerts这将返回目标服务器的证书链,包括目标证书、中间证书和根证书。将这些证书保存到本地文件。
  2. 配置openssl ocsp命令使用证书链:在运行openssl ocsp命令时,使用"-CAfile"参数指定证书链文件的路径,例如:openssl ocsp -issuer <颁发者证书路径> -CAfile <证书链文件路径> -cert <目标证书路径> -url <OCSP服务器URL>这将告诉openssl ocsp命令使用指定的证书链进行验证。
  3. 确保OCSP服务器可访问:验证错误可能还与OCSP服务器的可访问性有关。确保可以从运行openssl ocsp命令的主机访问到OCSP服务器,并且OCSP服务器的URL正确无误。

总结:

当运行openssl ocsp时出现验证错误"无法获取本地颁发者证书"时,需要确保openssl ocsp命令能够访问到完整的证书链,并正确配置命令参数。同时,还需要确保OCSP服务器可访问。

相关搜索:OpenSSL证书“无法获取本地颁发者证书”Openssl: 0深度查找时出现错误20 :无法获取本地颁发者证书错误:无法获取本地颁发者证书证书验证失败:无法获取本地颁发者证书Ruby 2.6.6 OpenSSL 1.1.1g -证书验证失败(无法获取本地颁发者证书)Laravel - SSL证书错误:无法获取本地颁发者证书PHP VERIFYHOST错误:无法获取本地颁发者证书专用根CA证书验证失败(无法获取本地颁发者证书)Wordpress on IIS cURL错误60: SSL证书:无法获取本地颁发者证书Paypal签出错误:"SSL证书问题:无法获取本地颁发者证书“Capistrano失败的原因是:证书验证失败(无法获取本地颁发者证书)PyMongo [SSL: CERTIFICATE_VERIFY_FAILED]证书验证失败:无法获取本地颁发者证书SSL证书问题:推送到远程仓库时无法获取本地颁发者证书空气制动错误: urlopen错误[SSL: CERTIFICATE_VERIFY_FAILED]证书验证失败:无法获取本地颁发者证书打开错误[SSL: CERTIFICATE_VERIFY_FAILED]证书验证失败:无法获取本地颁发者证书(_ssl.c:1076)>Windows 2019、Python 3.9.7、urllib、证书验证失败:无法获取本地颁发者证书(_ssl.c:1129)框架错误:代码: 60原因: SSL证书问题:无法在solaris 11.3中获取本地颁发者证书Faraday::SSLError (SSL_connect returned=1 errno=0 state=error:证书验证失败(无法获取本地颁发者证书))urllib.error.URLError:错误[SSL: CERTIFICATE_VERIFY_FAILED]证书验证失败:无法获取本地颁发者证书(_ssl.c:1076)SSLError(SSLCertVerificationError(1,'[SSL: CERTIFICATE_VERIFY_FAILED]证书验证失败:无法获取本地颁发者证书(_ssl.c:1123) )
相关搜索:
页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

https原理及实践

网络安全证书由来  获取公钥信息的证书  默认公钥在网络中进行传递,默认情况下也是会出现问题的如下图所示: ?...启用或禁用 服务器对OCSP响应的装订。例: ssl_stapling on; resolver 192.0.2.1; 要使OCSP装订工作,应该知道服务器证书颁发证书。...如果ssl_certificate文件不包含中间证书,则服务器证书颁发证书应存在于ssl_trusted_certificate文件中。 对于OCSP响应者主机名的解析,也应指定解析器指令。...设置,装订好的OCSP响应将取自指定的地址,file而不是查询服务器证书中指定的OCSP响应者。 该文件应该是由“openssl ocsp”命令产生的DER格式。...启用或禁用服务器验证OCSP响应。 要使验证生效,应使用ssl_trusted_certificate指令将服务器证书颁发,根证书和所有中间证书证书配置为可信。

1.4K90

【Nginx37】Nginx学习:SSL模块(一)简单配置与指令介绍

直接报出这样的错误信息。...请注意,不恰当地使用此语法可能产生安全隐患,例如将密钥数据写入错误日志。 从版本 1.15.9 开始,在使用 OpenSSL 1.0.2 或更高版本,可以在文件名中使用变量。...ssl_stapling 启用或禁用服务器对 OCSP 响应的装订。 ssl_stapling on | off; 默认 off ,要使 OCSP 装订工作,应该知道服务器证书颁发证书。...如果 ssl_certificate 文件不包含中间证书,则服务器证书颁发证书应存在于 ssl_trusted_certificate 文件中。...ssl_stapling_verify on | off; 默认值 off ,为了使验证工作,服务器证书颁发证书、根证书和所有中间证书应使用 ssl_trusted_certificate 指令配置为受信任的

1.1K20
  • CDN开启OCSP Stapling功能为何不生效?

    浏览器可以定期去下载这个列表用于校验证书是否已被吊销。可以看出,CRL 只会越来越大,而且当一个证书刚被吊销后,浏览器在更新 CRL 之前还是信任这个证书的,实时性较差。...握手去实时查询 OCSP 接口,并在得到结果前阻塞后续流程,这对性能影响很大,严重影响用户体验。...Certificate Status 消息发送给浏览器,从而让浏览器跳过自己去验证的过程而直接拿到结果,OCSP 响应本身有了签名,无法伪造,所以 OCSP Stapling 既提高了效率也不会影响安全性...快速简单定位的方案见附录) 2.1 获取OCSP需要用到的证书信息 openssl s_client -connect a.z-4.cn:443 -servername a.z-4.cn 2>&1 <...://ocsp.int-x3.letsencrypt.org) openssl x509 -noout -ocsp_uri -in a.z-4.pem image.png 2.3 获取OCSP需要用到的证书链信息

    3.8K290

    HTTPS 基本原理和配置 - 2

    SSL Labs 是 Qualys 运营的一个网站; 你只要输入你的域名,它就会运行所有类型的浏览器,所有类型的 SSL 连接,它会告诉你哪些设置正确,哪些设置错误。...然而,这实际上有一点危险,因为如果你的 SSL 配置中断或证书过期,那么访问无法访问该站点的纯 HTTP 版本。你还可以做一些更高级的事情。就是将你的站点添加到预加载列表中。...发生的情况是: 当浏览器收到证书,它还必须检查它是否被吊销了。于是它联系了证书颁发机构,问「这个证书还有效吗?」他们回答「是」或「不是」。...HTTPS 不只需要三次往返,你还需要 OCSP。因此,OCSP 装订允许服务器获取证书未过期的证明。在后台,获取这个表示「是的,证书是好的」的 OCSP 响应,然后将它放入握手中。...这样客户端就不需要实际接触 CA 并获取它。 5.2 快多少?

    78030

    HTTPS 原理与证书实践

    1.3 证书的由来 1.3.1 如何获取公钥信息 默认公钥在网络中进行传递,默认情况下也是会出现问题的如下图所示: ?...正常工作, 需要知道服务器证书颁发证书 如果ssl_certificate文件不包含中间证书, 则应在ssl_trusted_certificate文件中显示服务器证书颁发证书。...启用或禁用服务器对 OCSP 响应的验证。 要进行验证, 应使用ssl_trusted_certificate指令将服务器证书颁发、根证书和所有中间证书证书配置为受信任。...可选参数optional_no_ca (1.3.8, 1.2.5)请求客户端证书而不需要将签署由受信任的CA证书。这适用于nginx外部的服务运行实际证书验证的情况。...) 返回已建立的 SSL 连接的客户端证书的 "颁发 DN" 字符串; $ssl_client_i_dn_legacy 返回已建立的 SSL 连接的客户端证书的 "颁发 DN" 字符串

    5K70

    90%的人都不懂的TLS握手优化

    ,但会暂停验证并根据子证书指定的父证书 URL 自己获取中间证书。...OCSP Stapling 出于某些原因,证书颁发有时候需要作废某些证书。那么证书使用(例如浏览器)如何知道一个证书是否已被作废呢?...CRL 是由证书颁发机构定期更新的一个列表,包含了所有已被作废的证书,浏览器可以定期下载这个列表用于验证证书合法性。不难想象,CRL 随着时间推移变得越来越大,而且实时性很难得到保证。...而 OCSP Stapling(OCSP 封套),是指服务端在证书链中包含颁发机构对证书OCSP 查询结果,从而让浏览器跳过自己去验证的过程。...OCSP 响应本身经过了数字签名,无法伪造,所以 OCSP Stapling 技术既提高了握手效率,也不会影响安全性。启用这项技术后,也可以通过 Wireshark 来验证: ?

    5.8K20

    网络安全的第一道防线:深入探索sslscan在SSLTLS证书安全检测中的原理与实践

    首先每个证书颁发机构维护并持续更新的一个已吊销的证书列表,任何想验证证书是否被吊销的用户都能下载此列表,如果列表中有你要被验证证书,说明证书已经被吊销了,不再安全可信。...,在进一步协商阶段可能处于阻塞状态,比如OCSP服务器在境外被大陆限制访问或者被DNS污染,此时请求始终无法完成;通过OCSP Request发送给证书颁发机构进行实时查询证书可用性,也可能导致泄漏客户端的隐私...装订前:每台客户端第一次请求TLS证书,都会先向CA证书颁发机构发送OCSP Request。...1.client向Web服务器发起TLS握手请求;2.Web服务器响应TLS握手(返回证书);3.client向CA证书颁发机构的OCSP服务器发起OCSP查询;4.CA证书颁发机构的OCSP服务器向client...'百度的证书是DigiCert机构颁发的,因此OCSP指向的也是DigiCert的OCSP服务器,它甚至可以被浏览器进行访问:解析到的是国内CDN节点:同理,CRL证书吊销列表也包含在证书信息里:sslscan

    7K109100

    Jtti:SSL证书无效的原因及对应解决办法

    SSL证书无效通常会导致用户在访问网站遇到安全警告或错误。SSL证书的无效可能由多种原因引起,以下是一些常见原因及其对应的解决办法:1. 证书过期原因:证书有有效期,过期后会被认为无效。...证书链不完整原因:证书链指的是根证书、中间证书和服务器证书的链条。如果链条中的中间证书缺失或配置不正确,浏览器可能无法验证证书的有效性。...证书域名不匹配原因:证书的域名必须与您访问的域名匹配。如果证书为www.example.com而您访问的是example.com,则会出现无效证书错误。...浏览器或操作系统缓存问题原因:有时浏览器或操作系统可能缓存了旧的证书信息,导致出现无效证书错误。解决办法:清除缓存:尝试清除浏览器缓存和SSL状态,或重新启动操作系统。...更新系统:确保操作系统和浏览器都更新到最新版本,以获取最新的证书根和中间证书。8. 中间证书问题原因:中间证书可能没有正确安装或配置,导致证书验证失败。

    19710

    Lets Encrypt 被DNS污染导致苹果手机访问速度慢,Nginx 可以开启 OCSP 解决

    最近突然发现我的网站在苹果手机上Safari浏览器上第一次访问非常慢,但只要第一次访问后,后续的访问速度均不受影响...这就纳闷了,网站速度我都是优化过的,为什么会存在这种情况呢?...其特点是免费、支持泛域名、并且脚本一键部署,但是Let's Encrypt证书OCSP验证域名被DNS污染,无法解析到正确的IP地址,导致无法进行证书有效性验证。...说白了就是查询你的SSL证书是不是被提供商吊销了,正常访问一个网站,浏览器要先去使用OCSP协议去查询你的证书是否有效,如果有效才进行接下来的操作; 可全球这么多网站,都去验证的话OCSP服务器也扛不住...;但是有些浏览器,比如苹果的Safari和IE就强制开启了OCSP验证,Firefox的OCSP验证可以在选项中关闭; 由于Let's Encrypt证书OCSP验证域名被DNS污染,无法进行验证,所以就出现了首次访问很慢的原因...如果要获取指定证书文件的OCSP响应,则需要自己手动修改对应的证书目录和OCSP服务器地址等。 3.运行脚本 chmod +x getOCSP.sh.

    2.6K41

    商业证书颁发机构与自签名SSL证书之间的比较

    组织验证(OV)SSL证书 组织验证证书意味着证书颁发机构还验证了公共数据库中的公司名称和地址。此信息将放入证书中,并且通常仅在用户单击绿色挂锁图标以进一步调查显示。...在线证书状态协议(OCSPOCSP克服了证书注销列表(CRL)的主要缺陷:必须经常在客户端下载以确保列表的更新。当用户试图访问一个服务器,在线证书状态协议发送一个对于证书状态信息的请求。...当您只需要手动管理少数客户端上的信任,自签名证书适用于一次性使用,并且不介意在没有更多手动操作的情况下无法撤销或续订它。这通常足以用于开发和测试目的,或者仅供少数人使用的自托管Web应用程序。...与自签名证书(每个证书必须手动标记为受信任证书)不同,您只需安装一次私有CA。然后,从该CA颁发的所有证书都将继承该信任。 一个缺点是运行CA产生一些开销,需要知道如何以安全的方式进行设置和维护。...如果适当的撤销对您的使用很重要,您还需要为证书吊销列表或OCSP响应者维护HTTP服务器。 结论 我们已经回顾了一些获取或创建SSL证书的不同选项。

    3.7K60

    HTTPS 优化总结

    客户端就可以根据证书中的 OCSP 信息,发送查询请求到 CA 的在线验证地址来查询证书是否有效。OCSP 的问题在于,对 CA 机构的验证接口高可用性有要求,增加了浏览器握手的延时。...OCSP Stapling 技术是对 OCSP协议 的进一步升级。服务器事先模拟浏览器对证书链进行验证,然后将 OCSP 验证结果缓存到本地。...所以 Public-Key-Pins 就是用来告诉浏览器当前网站的证书指纹,包括配置过期时间,在过期时间内,浏览器再次访问这个网站的话就必须验证证书链中的证书指纹,如果跟之前指定的证书指纹不匹配,就无法访问...否则颁发失败。...它通过验证获取文件的哈希值是否和你提供的哈希值一样来判断资源是否被篡改。 SRI 目前的浏览器兼容性不好,而且增加代码和配置的复杂度。

    73921

    更快更安全,HTTPS 优化总结

    客户端就可以根据证书中的 OCSP 信息,发送查询请求到 CA 的在线验证地址来查询证书是否有效。OCSP 的问题在于,对 CA 机构的验证接口高可用性有要求,增加了浏览器握手的延时。...OCSP Stapling 技术是对 OCSP协议 的进一步升级。服务器事先模拟浏览器对证书链进行验证,然后将 OCSP 验证结果缓存到本地。...简单地说,就是当域名的 DNS 解析存在 CAA 记录,则只允许在记录中列出的 CA 机构颁发针对该域名(或子域名)的证书。...否则颁发失败。...它通过验证获取文件的哈希值是否和你提供的哈希值一样来判断资源是否被篡改。 SRI 目前的浏览器兼容性不好,而且增加代码和配置的复杂度。

    3.1K110

    SSL与TLS协议原理与证书签名多种生成方式实践指南

    : key 是服务器上的私钥文件:用于对发送给客户端数据的加密,以及对从客户端接收到数据的解密; csr 是证书签名请求文件:用于提交给证书颁发机构(CA)对证书签名 crt 是由证书颁发机构(CA)签名后的证书或者是开发自签名的证书...:包含证书持有人的信息,持有人的公钥,以及签署的签名等信息 备注:在密码学中,X.509是一个标准,规范了公开秘钥认证、证书吊销列表、授权凭证、凭证路径验证算法等。...返回一个base64编码的OCSP响应 info: 获取有关远程签名的信息 sign: 签名一个客户端证书,通过给定的CA和CA密钥,和主机名 ocsprefresh: 用所有已知未过期证书的新OCSP...(root根证书和私钥) 注意: 运行认证中心需要一个 CA 证书和相应的 CA 私钥, 任何知道私钥的人都可以充当CA来颁发证书, 因此私钥的保护至关重要。...;因为当集群创建好后,default namespace 下创建一个叫 kubenretes 的svc,有一些组件直接连接这个 svc 来跟 api 通信的,证书如果不包含可能会出现无法连接的情况。

    1.6K30

    HTTPS网络安全与SSL证书相关术语合集

    EV EV证书(Extended Validation Certificate)是一种根据一系列特定标准颁发的X.509电子证书,根据要求,在颁发证书之前,证书颁发机构(CA)必须验证申请的身份。...HPKP 公钥固定,这是一种https网站防止攻击使用CA错误颁发证书进行中间人攻击的一种安全机制,用于预防诸如攻击入侵CA偷发证书、浏览器信任CA签发伪造证书等情况,采用该机制后服务器提供一个公钥哈希列表...而且启用 HSTS 之后,一旦网站证书错误,用户无法选择忽略。...OCSP OCSP(Online Certificate Status Protocol)是一个用于获取X.509数字证书撤销状态的网际协议,在RCF 6960中定义,作为证书吊销列表的替代品解决公开密钥基础建设...TLS握手发送事先缓存的OCSP响应,用户只要验证该响应的时效性而不用再向数字证书认证机构(CA)发送请求,可以加快握手速度。

    1.4K50

    你并不在意的 HTTPS 证书吊销机制,或许会给你造成灾难性安全问题!

    证书完整性验证 使用RSA公钥解密来验证证书上的私钥签名是否合法,如果签名无效,则可认定证书被修改,直接报错。 证书有效性验证 CA在颁发证书,都为每个证书设定了有效期,包括开始时间与结束时间。...CRL分布在公共可用的存储库中,浏览器可以在验证证书获取并查阅CA的最新CRL。 该方法的一个缺陷是撤销的时间粒度限于CRL发布期。只有在计划更新所有当前发布的CRL之后,才会通知浏览器撤销。...OCSP机制衍生出来的问题 设想一个场景,你是浏览器企业,研发的浏览器在检查证书吊销状态,得不到OCSP server的响应,你如何选择?...解决了访问慢的问题 解决了用户隐私泄露的问题 通讯过程如上,但对于Web服务器在去OCSP Server查询证书状态,也同样面临无法获取OCSP Response的问题,在响应给浏览器,浏览器也还是要面临...检测范围包括issuer发行商的证书、subject服务器的证书为什么IE访问HTTPS的网站,会比别的浏览器慢?你应该已经知道答案了。 3.

    2.6K20

    创建私有CA,我就用openSSL

    熟悉证书的朋友可能会说了,为什么不使用自签名证书呢?也可以达到安全通信的目的。 这是因为自签名证书的作用比较有限,它没有CRL和OCSP的能力,并且使用起来也不是很方便。...-out root-ca.crt -extensions ca_req_ext 运行该命令之后,我们会在certs文件夹中创建一个自签名证书文件。...接下来我可以使用root CA和root-ocsp.csr颁发OCSP证书,这里我们需要用到配置文件中的ocsp_ext部分。...有了证书,我们可以方便的搭建一个本地OCSP responder如下所示: openssl ocsp -port 9000 -index db/index -rsigner root-ocsp.crt...这里启动的是一个本地服务,在正式环境中可以考虑将其迁移到单独的服务器中。 总结 使用上面的命令,我们搭建了一个私有的CA服务,和对应的OCSPopenssl非常强大,基本上你可以用他来做任何事情。

    1K40

    HTTPS安全优化配置最佳实践指南简述

    .509电子证书,根据要求,在颁发证书之前,证书颁发机构(CA)必须验证申请的身份。...TLS握手发送事先缓存的OCSP响应,用户只要验证该响应的时效性而不用再向数字证书认证机构(CA)发送请求,可以加快握手速度。...HPKP : 公钥固定,这是一种https网站防止攻击使用CA错误颁发证书进行中间人攻击的一种安全机制,用于预防诸如攻击入侵CA偷发证书、浏览器信任CA签发伪造证书等情况,采用该机制后服务器提供一个公钥哈希列表...而且启用 HSTS 之后一旦网站证书错误,用户无法选择忽略。...1.3) 建议从可信 CA 颁发获取证书, 选择CA重点考虑如果以下条件提供商是否发生过安全风险、业务侧重点、是否提供对证书吊销列表(CRL)和在线证书状态协议(OCSP)撤销方法的支持、是否提供便捷的证书管理无法

    2.6K10

    有关 TLSSSL 证书的一切

    本文就尝试说明,证书是用来干什么的,Google 是如何防止别人冒充 Google 的,证书为什么频繁出问题,等等。...key 对客户端:要被客户端信任 验证网站身份 我们不能签发证书错误的人,这样的话,证书持有不就可以冒充别人了吗?...这样,签名就保证了以下几点: 签名无法抵赖,因为只有 private key 的持有才能进行签名; 签名之后的内容无法篡改,因为一旦篡改,验证的步骤就会失败; 如此,我们就会发现,CA 对证书签名之后...我们还可以验证一下,openssl 有没有在本地去读 CA 文件。...其实通过验证对客户端来说也是没问题的,因为这些证书本质上是完全合法的,只是因为无法完成 Chain of Trust 而无法完成验证而已。 为什么找了这么多案例,没有一个是用中级证书来做交叉验证的?

    64520

    系统安全加密验证签名之Openssl命令

    此时通过 OpenSSL 创建私有 CA 并颁发证书就是很好的选择了。...mail.sgn 4.验证S/MIME消息mail.sgn,输出到文件mail.txt,签名证书应该作为S/MIME消息的一部分包含在mail.sgn中 openssl smime -verify...数字证书则是由证书认证机构(CA)对证书申请真实身份验证之后,用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名(相当于加盖发证书机构的公章)后形成的一个数字文件。...5.最后两部分的配置表示有了这个扩展的证书可以对OCSP响应进行签名。 # 为了能够运行OCSP响应程序,我们生成一个特别的证书,并且将OCSP的签名能力赋予这张证书。...Tips: 由于OCSP证书是没有吊销信息的所以无法吊销它们,因此您希望极可能去减少他们的声明周期,上面设置成为30天但是后续需要频繁地创建新的OCSP证书(所以万事皆有好有坏); 6.创建二级CA

    4.1K30
    领券