SSL et Apache: GeoTrust CryptoReport dit "OK", mais openssl Rapports "Impossible de recevoir un certificat d'émetteur local"

En fait, cela s'applique à l'ensemble d'autres services pour lesquels nous utilisons le même certificat, mais la voie à laquelle Apache Cela devient-il le plus évident et controversé lors de la comparaison des résultats du test.

Nous avons un certificat Wildcard sur notre site Web à
https://webmail.lightspeed.ca
. Les navigateurs Web offrent à nos clients un château vert, CryptoReport de GeoTrust sur
https://cryptoreport.geotrust.com/checker/
Cela me dit que notre certificat est installé correctement. Mais quand j'essaie d'utiliser

openssl s_client -connect webmail.lightspeed.ca:443

, Je reçois un message d'erreur

Verify return code: 20 (unable to get local issuer certificate)

C'est à quoi ressemble notre configuration. Apache pour SSL:

SSLEngine on
SSLCertificateFile /mailhome/webmail.lightspeed.ca/ssl.cert
SSLCertificateKeyFile /mailhome/webmail.lightspeed.ca/ssl.key
SSLCACertificateFile /etc/ssl/certs/GeoTrust_DV_SSL_CA-G3.pem

Bien que je comprenne que la connexion est cryptée, il est évident que ce message d'erreur signifie également que je ne suis pas complètement testé car je m'appelle moi-même. Il est problématique lorsque nous appliquons les mêmes certificats pour dire que notre SMTP ou serveur pop parce que certains clients (par exemple, Outlook pour Android) Vraiment n'aime pas ça. Examiner
http://www.checktls.com/perl/TestReceiver.pl
Cela n'aime pas, par exemple, et nous avons une erreur

Cert NOT VALIDATED: unable to get local issuer certificate

. Je trouve ça vraiment étrange parce que le fichier GeoTrust_DV_SSL_CA-G3.pem est notre certificat intermédiaire CA. Et ça CA Geotrust Pour notre type particulier de certificat avec des panneaux génériques.

Pour moi, ce n'est rien d'autre que d'irritation. Votre aide sera acceptée avec gratitude.
Invité:

Alice

Confirmation de:

Lorsque vous utilisez un navigateur ou testez divers outils en ligne, vous utilisez préconfiguré.

Ancrage confiance

(Certificat de racine CSS), tandis que

openssl

Fonctionne avec un autre ensemble

Ancrage confiance

, Habituellement déterminé et s'applique à votre distribution.

Vous devez dire

openssl

Où est ton

Ancrage confiance

Situé avec aide

-CAfile <filename>

option.

Si un

openssl

Ne fait pas confiance à votre site

Ancrage confiance

Ensuite, vous devrez le télécharger à partir de votre autorité de certification, puis vous devrez le transmettre.

openssl

de

-CAfile

option. Dès que vous le faites,

openssl

Fera confiance à la chaîne entière et arrêtera de vous envoyer un message d'erreur.
</filename>

Pour répondre aux questions, connectez-vous ou registre