openssl s_client affiche un certificat d'alerte inconnu mais tous les certificats de serveur semblent être vérifiés

Question

Je dépanne les erreurs lors de l'établissement d'une connexion sécurisée à un serveur EPP. J'émets la commande ci-dessous et constate que tous les certificats de serveur sont vérifiés, mais j'obtiens toujours une erreur (surlignée en gras). Y a-t-il toujours un problème de validation des certificats du serveur? Si oui, que pourrait-il être?

Edit: j'ai découpé les "noms de CA de certificat client acceptable" parce que le détecteur de spam ne les aimait pas.

$ openssl s_client -connect otessl.verisign-grs.com:700 -key /home/ubuntu/foo.key -cert /home/ubuntu/foo.crt -CAfile /home/ubuntu/foo-cert-chain.pem -CApath /etc/ssl/certs CONNECTED(00000003) depth=3 C = US, O = "VeriSign, Inc.", OU = Class 3 Public Primary Certification Authority verify return:1 depth=2 C = US, O = "VeriSign, Inc.", OU = VeriSign Trust Network, OU = "(c) 2006 VeriSign, Inc. - For authorized use only", CN = VeriSign Class 3 Public Primary Certification Authority - G5 verify return:1 depth=1 C = US, O = "VeriSign, Inc.", OU = VeriSign Trust Network, OU = Terms of use at https://www.verisign.com/rpa (c)06, CN = VeriSign Class 3 Extended Validation SSL CA verify return:1 depth=0 1.3.6.1.4.1.311.60.2.1.3 = US, 1.3.6.1.4.1.311.60.2.1.2 = Delaware, businessCategory = Private Organization, serialNumber = 2497886, C = US, postalCode = 20190, ST = Virginia, L = Reston, street = 12061 Bluemont Way, O = "Verisign, Inc", OU = Production Operations, CN = otessl.verisign-grs.com verify return:1 <b> 140403406833312:error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown:s3_pkt.c:1260:SSL alert number 46 140403406833312:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:177: </b> --- Certificate chain 0 s:/1.3.6.1.4.1.311.60.2.1.3=US/1.3.6.1.4.1.311.60.2.1.2=Delaware/businessCategory=Private Organization/serialNumber=2497886/C=US/postalCode=20190/ST=Virginia/L=Reston/street=12061 Bluemont Way/O=Verisign, Inc/OU=Production Operations/CN=otessl.verisign-grs.com i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)06/CN=VeriSign Class 3 Extended Validation SSL CA 1 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)06/CN=VeriSign Class 3 Extended Validation SSL CA i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5 2 s:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5 i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority --- Server certificate -----BEGIN CERTIFICATE----- *snipped* -----END CERTIFICATE----- subject=/1.3.6.1.4.1.311.60.2.1.3=US/1.3.6.1.4.1.311.60.2.1.2=Delaware/businessCategory=Private Organization/serialNumber=2497886/C=US/postalCode=20190/ST=Virginia/L=Reston/street=12061 Bluemont Way/O=Verisign, Inc/OU=Production Operations/CN=otessl.verisign-grs.com issuer=/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=Terms of use at https://www.verisign.com/rpa (c)06/CN=VeriSign Class 3 Extended Validation SSL CA --- Acceptable client certificate CA names *snipped - will post if needed* --- SSL handshake has read 10228 bytes and written 4199 bytes --- New, TLSv1/SSLv3, Cipher is RC4-MD5 Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : RC4-MD5 Session-ID: 544D9C743C278DCE0AA4715E68CA7C7A3443F3596495EA3A27448B9F3E0AC575 Session-ID-ctx: Master-Key: 77E6E234FE7313C50C04B7C8F32B0D6C9B6520A114DA4253A97FF1C200544EBB21DBC2C7ECA45DF0546A27EFB466EF4F Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None Start Time: 1414372468 Timeout : 300 (sec) Verify return code: 0 (ok) ---

Steffen Ullrich · Accepted Answer

Vous obtenez l'erreur sur certificate unknown à partir du serveur, il fait donc référence à la validation de votre certificat client côté serveur et non à la validation (réussie) du certificat serveurs côté client. Cela signifie que le serveur n'aime pas votre certificat client.

Veuillez vérifier votre certificat client par rapport à la liste des autorités de certification acceptables, assurez-vous qu'il n'est pas révoqué et effectuez peut-être un tcpdump/wirehark pour vérifier qu'il est réellement envoyé au serveur. Si cela ne vous aide pas, vous pouvez vérifier les fichiers journaux côté serveur pour détecter les signes d'erreur.

user526699 · Answer

Dans mon cas

erreur: 14094416: routines SSL: SSL3_READ_BYTES: certificat d'alerte sslv3 inconnu: s3_pkt.c: 1260: numéro d'alerte SSL 46

a été résolu en ajoutant

ssl_verify_client_cert = yes

dans / etc/dovecot/dovecot.conf.

Mike · Answer

Je viens de vivre quelque chose de similaire.

Vous avez peut-être oublié d'installer les certificats CA.

Si vous utilisez Ubuntu ou Debian: apt-get install ca-certificats

AXE Labs · Answer

Dans mon cas, les clients n'ont pas apprécié d'être obligés de faire TLS, mais étaient chaleureux et flous lorsque nous avons ajouté "SSLProtocol + SSLv3" dans le serveur https: |