Documentation
Table of Contents
2 Problemas con el certificado
OpenSSL se usa con CRL y para algunas CA en la cadena de certificados su CRL no est¨¢ incluida en TLSCRLFile
En el registro del servidor TLS en el caso de un par OpenSSL:
no se pudo aceptar una conexi¨®n entrante: desde 127.0.0.1: el protocolo de enlace TLS con 127.0.0.1 devolvi¨® el c¨®digo de error 1: \
archivo s3_srvr.c l¨ªnea 3251: error: 14089086: rutinas SSL: ssl3_get_client_certificate: verificaci¨®n de certificado fallida: \
TLS escribe alerta fatal "CA desconocida"En el registro del servidor TLS en el caso de un par GnuTLS:
no se pudo aceptar una conexi¨®n entrante: desde 127.0.0.1: el protocolo de enlace TLS con 127.0.0.1 devolvi¨® el c¨®digo de error 1: \
archivo rsa_pk1.c l¨ªnea 103: error:0407006A: rutinas rsa:RSA_padding_check_PKCS1_type_1:\
el tipo de bloque no es el archivo 01 rsa_eay.c l¨ªnea 705: error:04067072: rutinas rsa:RSA_EAY_PUBLIC_DECRYPT:paddinCRL expir¨® o vence durante la operaci¨®n del servidor
OpenSSL, en el registro del servidor:
- antes del vencimiento:
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS en [[127.0.0.1]:20004]:\
SSL_connect() devolvi¨® SSL_ERROR_SSL: archivo s3_clnt.c l¨ªnea 1253: error:14090086:\
Rutinas SSL:ssl3_get_server_certificate:verificaci¨®n del certificado fallida:\
TLS escribe alerta fatal "certificado revocado"- despu¨¦s del vencimiento:
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS en [[127.0.0.1]:20004]:\
SSL_connect() devolvi¨® SSL_ERROR_SSL: archivo s3_clnt.c l¨ªnea 1253: error:14090086:\
Rutinas SSL:ssl3_get_server_certificate:verificaci¨®n del certificado fallida:\
TLS escribe alerta fatal "certificado caducado"Lo importante aqu¨ª es que con CRL v¨¢lida se informa un certificado revocado como "certificado revocado". Cuando la CRL caduca, el mensaje de error cambia a "certificado caducado", lo cual es bastante enga?oso.
GnuTLS, en el registro del servidor:
- antes y despu¨¦s del vencimiento lo mismo:
no se puede conectar al proxy "proxy-openssl-1.0.1e": TCP exitoso, no se puede establecer TLS en [[127.0.0.1]:20004]:\
Certificado de igual no v¨¢lido: el certificado NO es de confianza. Se revoca la cadena de certificados.Certificado autofirmado, CA desconocida
OpenSSL, en el registro:
error: 'certificado autofirmado: SSL_connect() establece el c¨®digo de resultado en SSL_ERROR_SSL: archivo ../ssl/statem/statem_clnt.c\
l¨ªnea 1924: error: 1416F086: rutinas SSL: tls_process_server_certificate: verificaci¨®n de certificado fallida:\
TLS escribe alerta fatal "CA desconocida"Esto se observ¨® cuando el certificado del servidor por error ten¨ªa el mismo emisor. y cadena de asunto, aunque estaba firmada por CA. Emisor y Sujeto son iguales en el certificado de CA de nivel superior, pero no pueden ser iguales en el certificado del servidor. (Lo mismo se aplica a los certificados de proxy y agente).
Para comprobar si un certificado contiene las mismas entradas de Emisor y Asunto, ejecute:
openssl x509 -in <sucertificado.crt> -noout -textEs aceptable que el certificado ra¨ªz (nivel superior) tenga valores id¨¦nticos para Emisor y Asunto.