我有一个根CA,用于在当前工作的系统中同时生成服务器和客户端证书。
它即将到期,我正在尝试续订它而不更改任何服务器或客户端证书,但到目前为止我失败了。
为了续订CA,我使用了:
openssl req -new -key ca.key -out newcsr.csr
openssl x509 -req -days 3650 -in newcsr.csr -signkey ca.key -out newca.pem
然后,我用newca.pem替换了旧的CA证书。 我希望这足以使它正常工作,但不幸的是,它没有任何作用。
当尝试使用旧客户端证书(未过期)通过CuRL发送请求时,出现以下错误消息:
curl --cert clientcrt.pem --key clientkey.pem https://myserver/
(35)对等方不认可并信任发布您的CA 证书
(与旧CA相同的请求确实有效,因为它尚未过期)
我错过了哪些步骤? 还是您有我可能会寻找的错误原因的线索?
答案 0 :(得分:0)
如果对任何人都有用,我最终通过将新CA的序列号设置为与旧CA的序列号相同的值来解决了这个问题:
openssl req -new -x509 -days 3650 -key ca.key -set_serial <oldserial> -out newca.pem
因此,我的客户端证书已由我的CA成功验证。