从 OpenSSL 切换到 GNUTLS，关于证书路径的疑问。

This topic created in 3610 days ago, the information mentioned may be changed or developed.

OpenSSL 模式下各个证书路径，运行正常：

SSLEngine on
SSLCertificateFile "/usr/local/httpd/ssl/server.crt"
SSLCertificateKeyFile "/usr/local/httpd/ssl/server.key"
SSLCACertificateFile "/usr/local/httpd/ssl/server.ca.crt"

GnuTLS 模式下证书路径，搜索半天，不知怎么设置 server.ca.crt ，如果不设置，会报错“ SEC_ERROR_BAD_SIGNATURE ”

GnuTLSEnable on
GnuTLSPriorities NORMAL
GnuTLSCertificateFile /usr/local/httpd/ssl/server.crt
GnuTLSKeyFile /usr/local/httpd/ssl/server.key

多谢！

4 replies • 2016-07-19 00:23:21 +08:00

talas

Jul 18, 2016

解决了，证书路径我没对应好。

只是仍然不明白， server.ca.crt 这个证书在 GnuTLS 模式下是不必要的么？

talas

Jul 18, 2016

还有疑问： OpenSSL 的配置有很多行，而 GNUTLS 只有几行就实现了，这个有什么影响么？

talas

Jul 18, 2016

可能是我没有将 Let ’ s Encrypt 的中间证书追加到生成的域名证书的末尾导致的。

这样第一个问题就解决了。一会验证一下。

talas

Jul 19, 2016

验证了，追加中间证书后生成 chained.pem 替换 signed.crt ，重启 httpd 。

再测试，也不会报错“ ERROR: cannot verify aray.org's certificate, issued by ‘/C=US/O=Let's encrypt/CN=Let's Encrypt Authority X3 ’: Unable to locally verify the issuer's authority.”