Что проверяет return: 1 означает в выходных данных openssl

Question

Что проверяет return: 1 означает в выходных данных openssl

Я не понимаю вывода openssl. Запуск openssl следующим образом:

#openssl s_client -connect google.com:443 -CAfile cacert.pem



 В конечном итоге все в порядке, поскольку сертификат конечного объекта был проверен:
 Проверьте код возврата: 0 (ok) 

, но как насчет возврата проверки : 1  в начале вывода для промежуточных продуктов ниже? Что это значит или в чем суть? 

depth=3 C = US, O = Equifax, OU = Equifax Secure Certificate Authority verify return:1
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA verify return:1
depth=1 C = US, O = Google Inc, CN = Google Internet Authority G2 verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Google Inc, CN = google.com verify return:1

---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=google.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
---


         
            8

         
         
            openssl         
         
         
            задан jouell
            8 January 2016 в 02:42 
         
         
         Ссылка


    1 ответ


  
    
   
   
      

      
         
                     
      

         
         
            
               
                  
                      Обновление.   Стандартный C5 не поддерживает SNI , который является технологией, необходимой для обслуживания нескольких доменов на одном IP-адресе с использованием SSL.  Как вы увидите из связанного ответа (и других), втиснуть его в C5 болезненно, и, кроме того, у вас осталось всего около двух лет жизни на этой ОС (хотя в вашем случае у вас нет патча и  уже не поддерживается; 5.1 была EoLed в течение многих лет), так что это не менее веская причина для обновления. 
  -121--439925-  Функция обратного вызова verify (используемая для окончательной проверки применимости сертификата для конкретного использования) передается через SSL в поле, называемое полем  preverify_okay , которое указывает, прошла ли цепочка сертификатов.  базовые проверки, применимые ко всем случаям.  A  1  означает, что эти проверки пройдены. 


 int verify_callback (int preverify_ok, X509_STORE_CTX * x509_ctx)
 
 
  Функция verify_callback используется для управления поведением, когда установлен флаг SSL_VERIFY_PEER.  Он должен предоставляться приложением и получать два аргумента: preverify_ok указывает, прошла ли проверка соответствующего сертификата (preverify_ok = 1) или нет (preverify_ok = 0). 


 Это то, что возвращает  verify  : 1 Отображается . 

 Вы можете проверить код, если хотите получить более подробную информацию: 

int MS_CALLBACK verify_callback(int ok, X509_STORE_CTX *ctx)
    {
    [ snip ]
    BIO_printf(bio_err,"verify return:%d\n",ok);
    return(ok);
    }
                  
                  10

                  
                  
                     ответ дан 
                     2 December 2019 в 22:58 
                  
                  Ссылка
               
                              
                  
                     
      
                                         
                  
               
            
         
         
              



      
        Теги
        
         openssl       

        Похожие вопросы
        
          
                          204 
 Heartbleed: Что это и что опции состоят в том, чтобы смягчить его? - 17 March 2017 12:13 
                            187 
 как загрузить сертификат SSL с веб-сайта? - 11 February 2014 07:46 
                            115 
 Как я смотрю детали цифрового сертификата .cer файл? - 19 January 2017 20:50 
                            104 
 Как просмотреть все сертификаты SSL в пакете? - 25 April 2014 08:59 
                            97 
 Корневое истечение сертификата центра сертификации и обновление - 22 February 2015 09:15 
                            88 
 Heartbleed: как к надежно и портативно проверяют версию OpenSSL? - 13 April 2017 15:14 
                            85 
 Действительно ли возможно генерировать ключ RSA без пароля? - 5 March 2012 08:28 
                            77 
  ssh-keygen не создает закрытый ключ RSA  - 28 November 2018 11:38 
                            65 
 Heartbleed: сервисы кроме HTTPS затронуты? - 9 April 2014 11:06 
                            62 
 Лучшее расположение для сертификата SSL и закрытых ключей на Ubuntu - 13 April 2017 15:14 
                            52 
  Создание самозаверяющего сертификата с помощью openssl, который работает в Chrome 58  - 21 April 2017 16:50 
                            46 
 Установите openssl-dev на сервере Ubuntu - 19 March 2011 20:21 
                            43 
  Подключение к HTTPS с помощью netcat (nc) [closed]  - 16 September 2014 10:58 
                            41 
  запретить apache запрашивать пароль SSL при каждом перезапуске [дубликат]  - 6 April 2012 14:22 
                            40 
 Как удалить Пароль С закрытым ключом из pkcs12 контейнера? - 14 June 2013 16:02

score 10 · Accepted Answer · 2 December 2019 в 22:58

Обновление. Стандартный C5 не поддерживает SNI , который является технологией, необходимой для обслуживания нескольких доменов на одном IP-адресе с использованием SSL. Как вы увидите из связанного ответа (и других), втиснуть его в C5 болезненно, и, кроме того, у вас осталось всего около двух лет жизни на этой ОС (хотя в вашем случае у вас нет патча и уже не поддерживается; 5.1 была EoLed в течение многих лет), так что это не менее веская причина для обновления.

-121--439925-

Функция обратного вызова verify (используемая для окончательной проверки применимости сертификата для конкретного использования) передается через SSL в поле, называемое полем preverify_okay , которое указывает, прошла ли цепочка сертификатов. базовые проверки, применимые ко всем случаям. A 1 означает, что эти проверки пройдены.

 int verify_callback (int preverify_ok, X509_STORE_CTX * x509_ctx)
 
Функция verify_callback используется для управления поведением, когда установлен флаг SSL_VERIFY_PEER. Он должен предоставляться приложением и получать два аргумента: preverify_ok указывает, прошла ли проверка соответствующего сертификата (preverify_ok = 1) или нет (preverify_ok = 0).

Это то, что возвращает verify : 1 Отображается .

Вы можете проверить код, если хотите получить более подробную информацию:

int MS_CALLBACK verify_callback(int ok, X509_STORE_CTX *ctx)
    {
    [ snip ]
    BIO_printf(bio_err,"verify return:%d\n",ok);
    return(ok);
    }