wget、自签名证书和自定义HTTPS服务器
出于各种原因,我创建了一个简单的HTTP服务器,并通过OpenSSL添加了SSL支持。我正在使用自签名证书。IE、Firefox和Chrome都乐于加载内容,只要我将CA添加到受信任的根CA 但是,wget(即使在使用wget、自签名证书和自定义HTTPS服务器,https,openssl,wget,self-signed,Https,Openssl,Wget,Self Signed,出于各种原因,我创建了一个简单的HTTP服务器,并通过OpenSSL添加了SSL支持。我正在使用自签名证书。IE、Firefox和Chrome都乐于加载内容,只要我将CA添加到受信任的根CA 但是,wget(即使在使用--无检查证书标志时)报告: 如果我在服务器上运行OpenSSL客户端,请使用: openssl s_client -connect dnvista:82 -debug 我回来了: 验证错误:num=19:证书链中的自签名证书 验证返回:0 然后 wget和OpenSSL客户机难
--无检查证书
标志时)报告:
如果我在服务器上运行OpenSSL客户端,请使用:
openssl s_client -connect dnvista:82 -debug
我回来了:
验证错误:num=19:证书链中的自签名证书
验证返回:0
然后
wget和OpenSSL客户机难道不能使用自签名证书吗
更新:
对于以后出现的任何人,添加此代码有助于OpenSSL客户端和Firefox:
EC_KEY *ecdh = EC_KEY_new_by_curve_name(NID_X9_62_prime256v1);
SSL_CTX_set_tmp_ecdh(ctx, ecdh);
EC_KEY_free(ecdh);
我检查了
wget
的手册页,并且--没有检查证书
似乎只会影响服务器证书。您需要在本地将自签名证书指定为有效的CA证书
为此,请在
wget
中将证书指定为--ca certificate=…
,在s_client
案例中将证书指定为-CAfile
。您还可以通过以下几种方式之一将受信任的根ca证书安装到OpenSSL中:
- 将CA证书放在/etc/pki/tls/certs或等效目录中,然后基于证书哈希创建链接。有关详细信息,请参阅
- 将CA证书附加到/etc/pki/tls/certs/CA-bundle.crt、/etc/pki/tls/cert.pem或等效的CA捆绑包
5852:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:.\ssl\s3_pkt.c:1060:SSL alert number 40
5852:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:.\ssl\s23_lib.c:188:
EC_KEY *ecdh = EC_KEY_new_by_curve_name(NID_X9_62_prime256v1);
SSL_CTX_set_tmp_ecdh(ctx, ecdh);
EC_KEY_free(ecdh);