<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>

<meta http-equiv="content-type" content="text/html; charset=ISO-8859-1">
</head>
<body text="#000000" bgcolor="#ffffff">
Zdravim,<br>
pevne verim, ze mi pomozete najst chybu uz sa s tym lopotim dost dlho,
no neviem najst co je problem.<br>
Po instalovani certifikatov som sa snazil verifikovat ich validnost, no
dostavam chybove hlasky:<br>
<br>
# openssl s_client -CAfile cacert.pem -connect <a class="moz-txt-link-abbreviated" href="http://www.firma.sk:443">www.firma.sk:443</a><br>
CONNECTED(00000003)<br>
depth=0
/C=SK/ST=Slovakia/L=Bratislava/O=firma.sk/OU=Webhosting/CN=*.firma.sk<br>
verify error:num=20:unable to get local issuer certificate<br>
verify return:1<br>
depth=0
/C=SK/ST=Slovakia/L=Bratislava/O=firma.sk/OU=Webhosting/CN=*.firma.sk<br>
verify error:num=27:certificate not trusted<br>
verify return:1<br>
depth=0
/C=SK/ST=Slovakia/L=Bratislava/O=firma.sk/OU=Webhosting/CN=*.firma.sk<br>
verify error:num=21:unable to verify the first certificate<br>
verify return:1<br>
---<br>
Certificate chain<br>
&nbsp;0
s:/C=SK/ST=Slovakia/L=Bratislava/O=firma.sk/OU=Webhosting/CN=*.firma.sk<br>
&nbsp;&nbsp; i:/C=SK/ST=Slovakia/O=CAfirma.sk/OU=Certification Authority/CN=FIRMA
CA<br>
---<br>
&lt;nejake riadky tu&gt;<br>
<br>
Mozno nieco robim zle, pripadne volba CAfile neznamena, co si myslim...
(cacert.pem je certifikat CA).<br>
<br>
Tu je vytah z openssl.cnf:<br>
<br>
<address><font face="Courier New, Courier, monospace">HOME&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= .</font></address>
<address><font face="Courier New, Courier, monospace">RANDFILE&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= $ENV::HOME/.rnd</font></address>
<address><font face="Courier New, Courier, monospace">oid_section&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= new_oids</font></address>
<address><font face="Courier New, Courier, monospace">[ new_oids ]</font></address>
<address><font face="Courier New, Courier, monospace">[ ca ]</font></address>
<address><font face="Courier New, Courier, monospace">default_ca&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
CA_default&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # The default ca section</font></address>
<address><font face="Courier New, Courier, monospace">[ CA_default ]</font></address>
<address><font face="Courier New, Courier, monospace">dir&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
/root/CA&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # Where everything is kept</font></address>
<address><font face="Courier New, Courier, monospace">certs&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
$dir/certs&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # Where the issued certs are kept</font></address>
<address><font face="Courier New, Courier, monospace">crl_dir&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
$dir/crl&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # Where the issued crl are kept</font></address>
<address><font face="Courier New, Courier, monospace">database&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
$dir/index.txt&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # database index file.</font></address>
<address><font face="Courier New, Courier, monospace">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
# several ctificates with same subject.</font></address>
<address><font face="Courier New, Courier, monospace">new_certs_dir&nbsp;&nbsp; =
$dir/newcerts&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # default place for new certs.</font></address>
<address><font face="Courier New, Courier, monospace">certificate&nbsp;&nbsp;&nbsp;&nbsp; =
$dir/cacert.pem&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # The CA certificate</font></address>
<address><font face="Courier New, Courier, monospace">serial&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
$dir/serial&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # The current serial number</font></address>
<address><font face="Courier New, Courier, monospace">crlnumber&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
$dir/crlnumber&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # the current crl number</font></address>
<address><font face="Courier New, Courier, monospace">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
# must be commented out to leave a V1 CRL</font></address>
<address><font face="Courier New, Courier, monospace">crl&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
$dir/crl.pem&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # The current CRL</font></address>
<address><font face="Courier New, Courier, monospace">private_key&nbsp;&nbsp;&nbsp;&nbsp; =
$dir/private/cakey.pem # The private key</font></address>
<address><font face="Courier New, Courier, monospace">RANDFILE&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
$dir/private/.rand&nbsp;&nbsp;&nbsp; # private random number file</font></address>
<address><font face="Courier New, Courier, monospace">x509_extensions =
usr_cert&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # The extentions to add to the cert</font></address>
<address><font face="Courier New, Courier, monospace">name_opt&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
ca_default&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # Subject Name options</font></address>
<address><font face="Courier New, Courier, monospace">cert_opt&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
ca_default&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # Certificate field options</font></address>
<address><font face="Courier New, Courier, monospace">default_days&nbsp;&nbsp;&nbsp; =
730&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # how long to certify for</font></address>
<address><font face="Courier New, Courier, monospace">default_crl_days=
30&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # how long before next CRL</font></address>
<address><font face="Courier New, Courier, monospace">default_md&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
sha1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # which md to use.</font></address>
<address><font face="Courier New, Courier, monospace">preserve&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
no&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # keep passed DN ordering</font></address>
<address><font face="Courier New, Courier, monospace">policy&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; =
policy_match</font></address>
<address><font face="Courier New, Courier, monospace">copy_extensions =
copy</font></address>
<address><font face="Courier New, Courier, monospace">[ policy_match ]</font></address>
<address><font face="Courier New, Courier, monospace">countryName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= match</font></address>
<address><font face="Courier New, Courier, monospace">stateOrProvinceName&nbsp;&nbsp;&nbsp;&nbsp;
= match</font></address>
<address><font face="Courier New, Courier, monospace">organizationName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= match</font></address>
<address><font face="Courier New, Courier, monospace">organizationalUnitName&nbsp;
= optional</font></address>
<address><font face="Courier New, Courier, monospace">commonName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= supplied</font></address>
<address><font face="Courier New, Courier, monospace">emailAddress&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= optional</font></address>
<address><font face="Courier New, Courier, monospace">[ policy_anything
]</font></address>
<address><font face="Courier New, Courier, monospace">countryName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= optional</font></address>
<address><font face="Courier New, Courier, monospace">stateOrProvinceName&nbsp;&nbsp;&nbsp;&nbsp;
= optional</font></address>
<address><font face="Courier New, Courier, monospace">localityName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= optional</font></address>
<address><font face="Courier New, Courier, monospace">organizationName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= optional</font></address>
<address><font face="Courier New, Courier, monospace">organizationalUnitName&nbsp;
= optional</font></address>
<address><font face="Courier New, Courier, monospace">commonName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= supplied</font></address>
<address><font face="Courier New, Courier, monospace">emailAddress&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= optional</font></address>
<address><font face="Courier New, Courier, monospace">[ req ]</font></address>
<address><font face="Courier New, Courier, monospace">default_bits&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= 2048</font></address>
<address><font face="Courier New, Courier, monospace">default_keyfile&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= privkey.pem</font></address>
<address><font face="Courier New, Courier, monospace">distinguished_name&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= req_distinguished_name</font></address>
<address><font face="Courier New, Courier, monospace">attributes&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= req_attributes</font></address>
<address><font face="Courier New, Courier, monospace">x509_extensions =
v3_ca # The extentions to add to the self signed cert</font></address>
<address><font face="Courier New, Courier, monospace">string_mask =
nombstr</font></address>
<address><font face="Courier New, Courier, monospace">req_extensions =
v3_req</font></address>
<address><font face="Courier New, Courier, monospace">[
req_distinguished_name ]</font></address>
<address><font face="Courier New, Courier, monospace">countryName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= Country Name (2 letter code)</font></address>
<address><font face="Courier New, Courier, monospace">countryName_default&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= SK</font></address>
<address><font face="Courier New, Courier, monospace">countryName_min&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= 2</font></address>
<address><font face="Courier New, Courier, monospace">countryName_max&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= 2</font></address>
<address><font face="Courier New, Courier, monospace">stateOrProvinceName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= State or Province Name (full name)</font></address>
<address><font face="Courier New, Courier, monospace">stateOrProvinceName_default&nbsp;&nbsp;&nbsp;&nbsp;
= Slovakia</font></address>
<address><font face="Courier New, Courier, monospace">localityName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= Locality Name (eg, city)</font></address>
<address><font face="Courier New, Courier, monospace">localityName_default&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= Bratislava</font></address>
<address><font face="Courier New, Courier, monospace">0.organizationName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= Organization Name (eg, company)</font></address>
<address><font face="Courier New, Courier, monospace">0.organizationName_default&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= firma.sk</font></address>
<address><font face="Courier New, Courier, monospace">organizationalUnitName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= Organizational Unit Name (eg, section)</font></address>
<address><font face="Courier New, Courier, monospace">commonName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= Common Name (eg, YOUR name)</font></address>
<address><font face="Courier New, Courier, monospace">commonName_max&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= 64</font></address>
<address><font face="Courier New, Courier, monospace">emailAddress&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= Email Address</font></address>
<address><font face="Courier New, Courier, monospace">emailAddress_max&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= 64</font></address>
<address><font face="Courier New, Courier, monospace">[ req_attributes ]</font></address>
<address><font face="Courier New, Courier, monospace">challengePassword&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= A challenge password</font></address>
<address><font face="Courier New, Courier, monospace">challengePassword_min&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= 4</font></address>
<address><font face="Courier New, Courier, monospace">challengePassword_max&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= 20</font></address>
<address><font face="Courier New, Courier, monospace">unstructuredName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= An optional company name</font></address>
<address><font face="Courier New, Courier, monospace">[ usr_cert ]</font></address>
<address><font face="Courier New, Courier, monospace">basicConstraints=CA:FALSE</font></address>
<address><font face="Courier New, Courier, monospace">nsComment&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= "OpenSSL Generated Certificate issued by firma.sk"</font></address>
<address><font face="Courier New, Courier, monospace">subjectKeyIdentifier=hash</font></address>
<address><font face="Courier New, Courier, monospace">authorityKeyIdentifier=keyid,issuer:always</font></address>
<address><font face="Courier New, Courier, monospace">nsCaRevocationUrl&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= https://ca.firma.sk/firma-ca.crl</font></address>
<address><font face="Courier New, Courier, monospace">crlDistributionPoints&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= URI:https://ca.firma.sk/firma-ca.crl</font></address>
<address><font face="Courier New, Courier, monospace">[ v3_req ] </font></address>
<address><font face="Courier New, Courier, monospace">basicConstraints
= CA:FALSE</font></address>
<address><font face="Courier New, Courier, monospace">keyUsage =
nonRepudiation, digitalSignature, keyEncipherment</font></address>
<address><font face="Courier New, Courier, monospace">[ v3_ca ]&nbsp; </font></address>
<address><font face="Courier New, Courier, monospace">subjectKeyIdentifier=hash</font></address>
<address><font face="Courier New, Courier, monospace">authorityKeyIdentifier=keyid:always,issuer:always</font></address>
<address><font face="Courier New, Courier, monospace">basicConstraints
= CA:true</font></address>
<address><font face="Courier New, Courier, monospace">nsCaRevocationUrl&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= https://ca.firma.sk/firma-ca.crl</font></address>
<address><font face="Courier New, Courier, monospace">crlDistributionPoints&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
= URI:https://ca.firma.sk/firma-ca.crl</font></address>
<address><font face="Courier New, Courier, monospace">[ crl_ext ]</font></address>
<address><font face="Courier New, Courier, monospace">authorityKeyIdentifier=keyid:always,issuer:always</font></address>
<br>
--<br>
Peter Viskup<br>
</body>
</html>