OpenSSL: подпрограммы PEM: PEM_read_bio: нет начальной строки: pem_lib.c: 703: Ожидается: ДОВЕРЕННЫЙ СЕРТИФИКАТ [закрыто]

Question 1

Закрыто. Этот вопрос не соответствует рекомендациям по переполнению стека . В настоящее время он не принимает ответы.

Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме Stack Overflow.

Закрыт в прошлом году .

Уточните этот вопрос

Мне нужно хеш-имя файла для публикации в каталоге CApath Stunnel. У меня есть сертификаты в этом каталоге, и они хорошо работают. Кроме того, у меня есть серверный серт и серверный ключ:

cert = c:\Program Files (x86)\stunnel\server_cert.pem 
key = c:\Program> Files (x86)\stunnel\private\server_key.pem

Когда я пытаюсь вычислить хеш моего нового сертификата, я получаю сообщение об ошибке:

/etc/pki/tls/misc/c_hash cert.pem

unable to load certificate 140603809879880:error:0906D06C:PEM
routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE

Насколько я понимаю, я должен подписать свой сертификат, но не понимаю, как я могу это сделать. Пожалуйста, дайте решение.

PS:

Сообщение

unable to load certificate 140603809879880:error:0906D06C:PEM
routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE:

опубликовано, когда я сделал c_hash для cert.pem Это не server_cert.pem, это Root_CA, и он содержит что-то вроде

-----BEGIN CERTIFICATE-----  
...6UXBNSDVg5rSx60=.. 

-----END CERTIFICATE-----

Когда я пишу

openssl x509 -noout -text -in cert.pem

В панели консоли я вижу эту информацию:

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=BE, ST=BB, L=BB, O=BANKSYS NV, OU=SCY, CN=TEST Root CA
        Validity
            Not Before: May 31 08:06:40 2005 GMT
            Not After : May 31 08:06:40 2020 GMT
        Subject: C=BE, ST=BB, L=BB, O=BB NV, OU=SCY, CN=TEST Root CA
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:82:c8:58:1e:e5:7a:b2:63:a6:15:bd:f9:bb:1f:
............
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Subject Key Identifier:
                76:70:AB:92:9B:B1:26:CE:9E:93:D8:77:4F:78:0D:B8:D4:6C:DA:C6
    Signature Algorithm: sha1WithRSAEncryption
         2c:7e:bd:3f:da:48:a4:df:8d:7c:96:58:f7:87:bd:e7:16:24:
...............

Question 2

Поскольку вы работаете в Windows, убедитесь, что ваш сертификат в Windows "совместим", а самое главное, что у него нет ^Mв конце каждой строки

Если открыть его, это будет выглядеть так:
```
-----BEGIN CERTIFICATE-----^M
MIIDITCCAoqgAwIBAgIQL9+89q6RUm0PmqPfQDQ+mjANBgkqhkiG9w0BAQUFADBM^M
```
Чтобы решить эту проблему, откройте его с помощью Writeили Notepad ++ и конвертируйте в «стиль» Windows.
Попробуйте запустить openssl x509 -text -inform DER -in server_cert.pemи посмотреть, что будет на выходе, маловероятно, что закрытый / секретный ключ будет ненадежным, требуется только доверие, если вы экспортировали ключ из хранилища ключей, не так ли?

Question 3

Другая возможная причина этого - попытка использовать модуль x509 на чем-то, кроме x509.

Сертификат сервера имеет формат x509, но закрытый ключ - rsa.

Так,

openssl rsa -noout -text -in privkey.pem
openssl x509 -noout -text -in servercert.pem

Question 4

Моя ситуация была немного другой. Решение заключалось в том, чтобы удалить .pem из всего, что находится за пределами разделов CERTIFICATE и PRIVATE KEY, и изменить порядок их появления. После преобразования из pfx в файл pem сертификат выглядел так:

Bag Attributes
localKeyID: ...
issuer=...
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
Bag Attributes
more garbage...
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----

После исправления файла было просто:

-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

Question 5

Моя ошибка заключалась в том, что я просто использовал файл CSR вместо файла CERT.

Question 6

У меня была такая же проблема с Windows, которую можно было исправить, открыв ее в Notepad ++ и изменив кодировку с «UCS-2 LE BOM» на «UTF-8».

Question 7

Измените кодировку в блокноте ++ UTF-8 с помощью спецификации . Вот как это сработало для меня

Question 8

Вы можете получить эту вводящую в заблуждение ошибку, если наивно попытаетесь сделать это:

[clear] -> Private Key Encrypt -> [encrypted] -> Public Key Decrypt -> [clear]

Шифрование данных с использованием закрытого ключа запрещено по замыслу .

Вы можете видеть из параметров командной строки для open ssl, что единственные параметры должны encrypt -> decryptидти в одном направлении public -> private.

  -encrypt        encrypt with public key
  -decrypt        decrypt with private key

Другое направление намеренно предотвращается, потому что открытые ключи в основном «можно угадать». Таким образом, шифрование с помощью закрытого ключа означает, что единственное, что вы получаете, - это подтверждение того, что автор имеет доступ к закрытому ключу.

Это private key encrypt -> public key decryptнаправление называется «подписанием», чтобы отличать его от метода, который действительно может защитить данные.

  -sign           sign with private key
  -verify         verify with public key

Примечание: мое описание является упрощением для ясности. Прочтите этот ответ для получения дополнительной информации .

Answer 1 · 2019-05-04 05: 40: 11Z

Закрыто. Этот вопрос не соответствует рекомендациям по переполнению стека . В настоящее время он не принимает ответы.

Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме Stack Overflow.

Закрыт в прошлом году .

Уточните этот вопрос

Мне нужно хеш-имя файла для публикации в каталоге CApath Stunnel. У меня есть сертификаты в этом каталоге, и они хорошо работают. Кроме того, у меня есть серверный серт и серверный ключ:

cert = c:\Program Files (x86)\stunnel\server_cert.pem 
key = c:\Program> Files (x86)\stunnel\private\server_key.pem

Когда я пытаюсь вычислить хеш моего нового сертификата, я получаю сообщение об ошибке:

/etc/pki/tls/misc/c_hash cert.pem

unable to load certificate 140603809879880:error:0906D06C:PEM
routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE

Насколько я понимаю, я должен подписать свой сертификат, но не понимаю, как я могу это сделать. Пожалуйста, дайте решение.

PS:

Сообщение

unable to load certificate 140603809879880:error:0906D06C:PEM
routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE:

опубликовано, когда я сделал c_hash для cert.pem Это не server_cert.pem, это Root_CA, и он содержит что-то вроде

-----BEGIN CERTIFICATE-----  
...6UXBNSDVg5rSx60=.. 

-----END CERTIFICATE-----

Когда я пишу

openssl x509 -noout -text -in cert.pem

В панели консоли я вижу эту информацию:

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=BE, ST=BB, L=BB, O=BANKSYS NV, OU=SCY, CN=TEST Root CA
        Validity
            Not Before: May 31 08:06:40 2005 GMT
            Not After : May 31 08:06:40 2020 GMT
        Subject: C=BE, ST=BB, L=BB, O=BB NV, OU=SCY, CN=TEST Root CA
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:82:c8:58:1e:e5:7a:b2:63:a6:15:bd:f9:bb:1f:
............
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Subject Key Identifier:
                76:70:AB:92:9B:B1:26:CE:9E:93:D8:77:4F:78:0D:B8:D4:6C:DA:C6
    Signature Algorithm: sha1WithRSAEncryption
         2c:7e:bd:3f:da:48:a4:df:8d:7c:96:58:f7:87:bd:e7:16:24:
...............

Answer 2

1

Может помочь кому - то еще, я получил эту ошибку , когда я неправильно поменялись местами keyи certфайлы в httpsобъекте конфигурации предоставляются webpack.config«с devServer.

Тао

Answer 3

43

Поскольку вы работаете в Windows, убедитесь, что ваш сертификат в Windows "совместим", а самое главное, что у него нет ^Mв конце каждой строки

Если открыть его, это будет выглядеть так:
```
-----BEGIN CERTIFICATE-----^M
MIIDITCCAoqgAwIBAgIQL9+89q6RUm0PmqPfQDQ+mjANBgkqhkiG9w0BAQUFADBM^M
```
Чтобы решить эту проблему, откройте его с помощью Writeили Notepad ++ и конвертируйте в «стиль» Windows.
Попробуйте запустить openssl x509 -text -inform DER -in server_cert.pemи посмотреть, что будет на выходе, маловероятно, что закрытый / секретный ключ будет ненадежным, требуется только доверие, если вы экспортировали ключ из хранилища ключей, не так ли?

Ноам Ратхаус
источник

2

Попробуйте запустить это, openssl x509 -hash -noout -inон извлекает хеш, посмотрите, поможет ли?

Ноам Ратхаус

это полезно. Спасибо. Но в журнале STunnel я вижу ошибку

SSL_accept: 14094418: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket

при попытке установить соединение

lsv

Это означает совсем другое, это означает, что обе стороны не используют один и тот же caсертификат для своих сертификатов CA,

Ноам Ратхаус

1

Спасибо, openssl x509 -text -inform DER -in server_cert.pemпреобразовал мой p7bзакодированный (?) Сертификат во что-то пригодное для использования.

Коэн.

3

Моя проблема заключалась не в окончании строк CRLF, как описано здесь, но этого предложения было достаточно, чтобы я встал на путь. Моя проблема заключалась в том, что мой файл был сохранен в двухбайтовом Unicode с спецификацией, и openssl для Windows не мог с этим справиться. Я пересохранил как ascii, и это сработало.

Элрой Флинн,

Answer 4

2

Попробуйте запустить это, openssl x509 -hash -noout -inон извлекает хеш, посмотрите, поможет ли?

Ноам Ратхаус

Answer 5

это полезно. Спасибо. Но в журнале STunnel я вижу ошибку

SSL_accept: 14094418: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket

при попытке установить соединение

lsv

Answer 6

Это означает совсем другое, это означает, что обе стороны не используют один и тот же caсертификат для своих сертификатов CA,

Ноам Ратхаус

Answer 7

1

Спасибо, openssl x509 -text -inform DER -in server_cert.pemпреобразовал мой p7bзакодированный (?) Сертификат во что-то пригодное для использования.

Коэн.

Answer 8

3

Моя проблема заключалась не в окончании строк CRLF, как описано здесь, но этого предложения было достаточно, чтобы я встал на путь. Моя проблема заключалась в том, что мой файл был сохранен в двухбайтовом Unicode с спецификацией, и openssl для Windows не мог с этим справиться. Я пересохранил как ascii, и это сработало.

Элрой Флинн,

Answer 9

Другая возможная причина этого - попытка использовать модуль x509 на чем-то, кроме x509.

Сертификат сервера имеет формат x509, но закрытый ключ - rsa.

Так,

openssl rsa -noout -text -in privkey.pem
openssl x509 -noout -text -in servercert.pem

Answer 10

14

Моя ситуация была немного другой. Решение заключалось в том, чтобы удалить .pem из всего, что находится за пределами разделов CERTIFICATE и PRIVATE KEY, и изменить порядок их появления. После преобразования из pfx в файл pem сертификат выглядел так:

Bag Attributes
localKeyID: ...
issuer=...
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
Bag Attributes
more garbage...
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----

После исправления файла было просто:

-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

Густаво да Силва Серра
источник

M kinda noob, пожалуйста, посоветуйте мне .. Как отредактировать этот файл на Mac

shubhamkes

У меня была аналогичная ошибка. У меня сработало изменение порядка.

Джон Ричардсон,

Мои ключи пришли в отдельных файлах, которые мне нужны для создания нового файла:cat $SOURCE/privkey.pem $SOURCE/fullchain.pem > server.pem

ErichBSchulz

Answer 11

M kinda noob, пожалуйста, посоветуйте мне .. Как отредактировать этот файл на Mac

shubhamkes

Answer 12

У меня была аналогичная ошибка. У меня сработало изменение порядка.

Джон Ричардсон,

Answer 13

Мои ключи пришли в отдельных файлах, которые мне нужны для создания нового файла:cat $SOURCE/privkey.pem $SOURCE/fullchain.pem > server.pem

ErichBSchulz

Answer 14

14

Моя ошибка заключалась в том, что я просто использовал файл CSR вместо файла CERT.

SpiRail
источник

2

по крайней мере, я не единственный, кто допустил эту ошибку ... я удивлен, что модуль не предупреждает нас об этом.

edwardsmarkf

1

на это у меня ушло несколько часов. Все начинается с загадочной ошибки из xmlsec1,key is not found

Амихай Шрайбер

Answer 15

2

по крайней мере, я не единственный, кто допустил эту ошибку ... я удивлен, что модуль не предупреждает нас об этом.

edwardsmarkf

Answer 16

1

на это у меня ушло несколько часов. Все начинается с загадочной ошибки из xmlsec1,key is not found

Амихай Шрайбер

Answer 17

У меня была такая же проблема с Windows, которую можно было исправить, открыв ее в Notepad ++ и изменив кодировку с «UCS-2 LE BOM» на «UTF-8».

Answer 18

6

Измените кодировку в блокноте ++ UTF-8 с помощью спецификации . Вот как это сработало для меня

Йода Земихаил
источник

1

Да! Это сработало для меня. Обратите внимание: сертификаты PEM, экспортированные из утилиты Apple Keychain, не имеют спецификации, и это нарушает работу некоторых программ.

HughHughTeotl

Answer 19

1

Да! Это сработало для меня. Обратите внимание: сертификаты PEM, экспортированные из утилиты Apple Keychain, не имеют спецификации, и это нарушает работу некоторых программ.

HughHughTeotl

Answer 20

Вы можете получить эту вводящую в заблуждение ошибку, если наивно попытаетесь сделать это:

[clear] -> Private Key Encrypt -> [encrypted] -> Public Key Decrypt -> [clear]

Шифрование данных с использованием закрытого ключа запрещено по замыслу .

Вы можете видеть из параметров командной строки для open ssl, что единственные параметры должны encrypt -> decryptидти в одном направлении public -> private.

  -encrypt        encrypt with public key
  -decrypt        decrypt with private key

Другое направление намеренно предотвращается, потому что открытые ключи в основном «можно угадать». Таким образом, шифрование с помощью закрытого ключа означает, что единственное, что вы получаете, - это подтверждение того, что автор имеет доступ к закрытому ключу.

Это private key encrypt -> public key decryptнаправление называется «подписанием», чтобы отличать его от метода, который действительно может защитить данные.

  -sign           sign with private key
  -verify         verify with public key

Примечание: мое описание является упрощением для ясности. Прочтите этот ответ для получения дополнительной информации .

OpenSSL: подпрограммы PEM: PEM_read_bio: нет начальной строки: pem_lib.c: 703: Ожидается: ДОВЕРЕННЫЙ СЕРТИФИКАТ [закрыто]

Ответы: