我在sles 11上运行openssl v 0.9.8j,并且在使用SSLv2时遇到证书验证问题
如果我强迫openssl将SSLv3与-ssl3一起使用,openssl可以验证证书。但如果我转向-ssl2,我会收到以下错误:
验证错误:num = 20:无法获得本地颁发者证书
我对ssl机制有点新手,我的本地证书(.pem)是否可能只对SSLv3有效而不是SSLv2?
答案 0 :(得分:0)
我的本地证书(.pem)是否可能仅对SSLv3有效而不对SSLv2有效?
没有。如果SSL2由未知的中间权限签名,您可能无法在SSL2上验证此证书,而SSL3允许发送整个证书链,从而验证整个链。您遇到问题的原因是 SSL2未实现证书链。
文档说: https://tools.ietf.org/html/draft-hickman-netscape-ssl-00 (SSL 2) CERTIFICATE-DATA包含由CERTIFICATE-TYPE值定义的数据。 CERTIFICATE-TYPE是[..]之一CERTIFICATE-DATA包含X.509(1988)签名证书。
https://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 (SSL 3) certificate_list这是X.509.v3证书的序列(链),首先按照发件人的证书进行排序,然后是依次向上进行的任何证书颁发机构证书。