<div dir="ltr">Hi openssl-er,<div><br></div><div><span style="font-size:14px">> Does cacert.pem contain the CA certificate that issued the certificate for</span><br style="font-size:14px">> <a href="https://curl.haxx.se/" rel="noreferrer" target="_blank" style="font-size:14px">https://curl.haxx.se</a><span style="font-size:14px"> ?</span><br></div><div><span style="font-size:14px"><br></span></div><div><span style="font-size:14px">I think the cacert.pem is right. Because, I can get the ok result in my PC by this command:</span></div><div><span style="font-size:14px"><img src="cid:ii_iwoooo090_158fc7a899f748a7" width="562" height="120"><br>​</span></div><div><span style="font-size:14px">> If your embedded file system does not support symlinks, you can instead</span><br style="font-size:14px"><span style="font-size:14px">> rename the PEM files to the names of the symlinks that c_rehash generates</span><br style="font-size:14px"><span style="font-size:14px">> on a more full-blown development computer.</span><br></div><div><span style="font-size:14px"><br></span></div><div><span style="font-size:14px">I don't know if my way is right. I do it like this:</span></div><div><br></div><div><br></div><div><span style="font-size:14px">1. In my device, I can't use the c_rehash. It said no perl. I input the command like this:</span></div><div><div><span style="font-size:14px">/tmp # ./openssl x509 -hash -fingerprint -noout -in /home/georgeyang/workspace/s</span></div><div><span style="font-size:14px">peech_code/openssl/openssl/final/certs/cacert-2016-11-02.pem </span></div><div><span style="font-size:14px">5ad8a5d6</span></div><div><span style="font-size:14px">SHA1 Fingerprint=B1:BC:96:8B:D4:F4:9D:62:2A:A8:9A:81:F2:15:01:52:A4:1D:82:9C</span></div></div><div><span style="font-size:14px"><br></span></div><div><span style="font-size:14px">2. input command:</span></div><div><div><span style="font-size:14px">/etc/ssl/certs # ln -s /home/georgeyang/workspace/speech_code/openssl/openssl/fi</span><span style="font-size:14px">nal/certs/cacert-2016-11-02.pem 5ad8a5d6.0</span></div></div><div><div><span style="font-size:14px">/etc/ssl/certs # ls -l</span></div><div><span style="font-size:14px">total 511</span></div><div><span style="font-size:14px">lrwxrwxrwx    1 root     root            88 Jan  1 06:53 5ad8a5d6.0 -> /home/georgeyang/workspace/speech_code/openssl/openssl/final/certs/cacert-2016-11-02.pem</span></div></div><div><span style="font-size:14px"><br></span></div><div><span style="font-size:14px">Is this right?</span></div><div><span style="font-size:14px"><br></span></div><div><span style="font-size:14px">3. the result is still NG</span></div><div><div><span style="font-size:14px">/tmp # ./openssl s_client -connect <a href="http://curl.haxx.se:443">curl.haxx.se:443</a> -CApath /etc/ssl/certs/</span></div><div><span style="font-size:14px">CONNECTED(00000003)</span></div><div><span style="font-size:14px">depth=0 CN = <a href="http://anja.haxx.se">anja.haxx.se</a></span></div><div><span style="font-size:14px">verify error:num=20:unable to get local issuer certificate</span></div><div><span style="font-size:14px">verify return:1</span></div><div><span style="font-size:14px">depth=0 CN = <a href="http://anja.haxx.se">anja.haxx.se</a></span></div><div><span style="font-size:14px">verify error:num=21:unable to verify the first certificate</span></div><div><span style="font-size:14px">verify return:1</span></div><div><span style="font-size:14px">---</span></div></div><div><span style="font-size:14px"><br></span></div><div><span style="font-size:14px">4. NG again</span></div><div><div><span style="font-size:14px">CONNECTED(00000003)</span></div><div><span style="font-size:14px">depth=0 CN = <a href="http://anja.haxx.se">anja.haxx.se</a></span></div><div><span style="font-size:14px">verify error:num=20:unable to get local issuer certificate</span></div><div><span style="font-size:14px">verify return:1</span></div><div><span style="font-size:14px">depth=0 CN = <a href="http://anja.haxx.se">anja.haxx.se</a></span></div><div><span style="font-size:14px">verify error:num=21:unable to verify the first certificate</span></div><div><span style="font-size:14px">verify return:1</span></div><div><span style="font-size:14px">---</span></div><div><span style="font-size:14px">Certificate chain</span></div><div><span style="font-size:14px"> 0 s:/CN=<a href="http://anja.haxx.se">anja.haxx.se</a></span></div><div><span style="font-size:14px">   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3</span></div><div><span style="font-size:14px"> 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3</span></div><div><span style="font-size:14px">   i:/O=Digital Signature Trust Co./CN=DST Root CA X3</span></div><div><span style="font-size:14px">---</span></div><div><span style="font-size:14px">Server certificate</span></div><div><span style="font-size:14px">-----BEGIN CERTIFICATE-----</span></div><div><span style="font-size:14px">---</span></div><div><span style="font-size:14px">-----END CERTIFICATE-----</span></div><div><span style="font-size:14px">subject=/CN=<a href="http://anja.haxx.se">anja.haxx.se</a></span></div><div><span style="font-size:14px">issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3</span></div><div><span style="font-size:14px">---</span></div><div><span style="font-size:14px">No client certificate CA names sent</span></div><div><span style="font-size:14px">Peer signing digest: SHA512</span></div><div><span style="font-size:14px">Server Temp Key: ECDH, P-256, 256 bits</span></div><div><span style="font-size:14px">---</span></div><div><span style="font-size:14px">SSL handshake has read 3143 bytes and written 302 bytes</span></div><div><span style="font-size:14px">Verification error: unable to verify the first certificate</span></div><div><span style="font-size:14px">---</span></div><div><span style="font-size:14px">New, TLSv1.2, Cipher is ECDHE-RSA-AES128-GCM-SHA256</span></div><div><span style="font-size:14px">Server public key is 2048 bit</span></div><div><span style="font-size:14px">Secure Renegotiation IS supported</span></div><div><span style="font-size:14px">Compression: NONE</span></div><div><span style="font-size:14px">Expansion: NONE</span></div><div><span style="font-size:14px">No ALPN negotiated</span></div><div><span style="font-size:14px">SSL-Session:</span></div><div><span style="font-size:14px">    Protocol  : TLSv1.2</span></div><div><span style="font-size:14px">    Cipher    : ECDHE-RSA-AES128-GCM-SHA256</span></div><div><span style="font-size:14px">    Session-ID: 3EA8329E6101B72FDA48B82E57049D637925CBC73064598B5B418270FFA5907C</span></div><div><span style="font-size:14px">    Session-ID-ctx: </span></div><div><span style="font-size:14px">    Master-Key: 61172C067AE0758A1BE71C7577B6A6E8EFD896516F602BCA30E4E369B61A4093702406403CF41FF3B9CFC2E9E76BE611</span></div><div><span style="font-size:14px">    PSK identity: None</span></div><div><span style="font-size:14px">    PSK identity hint: None</span></div><div><span style="font-size:14px">    SRP username: None</span></div><div><span style="font-size:14px">    TLS session ticket lifetime hint: 300 (seconds)</span></div><div><span style="font-size:14px">    TLS session ticket:</span></div><div><span style="font-size:14px">---</span></div><div><span style="font-size:14px"><br></span></div><div><span style="font-size:14px">    Start Time: 24915</span></div><div><span style="font-size:14px">    Timeout   : 7200 (sec)</span></div><div><span style="font-size:14px">    Verify return code: 21 (unable to verify the first certificate)</span></div><div><span style="font-size:14px">    Extended master secret: no</span></div><div><span style="font-size:14px">---</span></div><div><span style="font-size:14px">closed</span></div></div><div><span style="font-size:14px"><br></span></div><div>Thank you :-(</div><div><span style="font-size:14px"><br></span></div></div>