<div dir="ltr">Hi Jakob & openssl-er,<div><br></div><div><span style="font-size:14px">> Just to be sure (sometimes OpenSSL checks its default -CApath even</span><br style="font-size:14px"><span style="font-size:14px">> if you specify a -CAfile) try this command on the development machine:</span><br style="font-size:14px"><br style="font-size:14px"><span style="font-size:14px">> openssl x509 -subject -noout -in cacert.pem</span><br style="font-size:14px"><br style="font-size:14px"><span style="font-size:14px">> Compare to the deepest value from the screenshot above.</span><br></div><div><span style="font-size:14px"><br></span></div><div><span style="font-size:14px"><br></span></div><div><span style="font-size:14px">I get the log from the embedded linux device and my PC.</span></div><div><span style="font-size:14px">Sorry, I don't get the deference in the platform, but there is some deference between the platform and PC.</span></div><div><span style="font-size:14px">Is this help?</span></div><div><span style="font-size:14px"><br></span></div><div><span style="font-size:14px">------------------------------from embedded platform NG log--------------</span></div><div><div><span style="font-size:14px">/tmp # ./openssl x509 -subject -noout -in cacert-2016-11-02.pem </span></div><div><span style="font-size:14px">subject=C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA</span></div></div><div><span style="font-size:14px"><br></span></div><div><div><span style="font-size:14px">/tmp # ./openssl s_client -connect <a href="http://curl.haxx.se:443">curl.haxx.se:443</a> -CAfile ./cacert-2016-11-02.</span><span style="font-size:14px">pem </span></div><div><span style="font-size:14px">CONNECTED(00000003)</span></div><div><span style="font-size:14px">depth=0 CN = <a href="http://anja.haxx.se">anja.haxx.se</a>                                            /////////////////////////////////always  depth=0////////////////////////////////////////</span></div><div><span style="font-size:14px">verify error:num=20:unable to get local issuer certificate</span></div><div><span style="font-size:14px">verify return:1</span></div><div><span style="font-size:14px">depth=0 CN = <a href="http://anja.haxx.se">anja.haxx.se</a></span></div><div><span style="font-size:14px">verify error:num=21:unable to verify the first certificate</span></div><div><span style="font-size:14px">verify return:1</span></div><div><span style="font-size:14px">---</span></div><div><span style="font-size:14px">Certificate chain</span></div><div><span style="font-size:14px"> 0 s:/CN=<a href="http://anja.haxx.se">anja.haxx.se</a></span></div><div><span style="font-size:14px">   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3</span></div><div><span style="font-size:14px"> 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3</span></div><div><span style="font-size:14px">   i:/O=Digital Signature Trust Co./CN=DST Root CA X3</span></div><div><span style="font-size:14px">---</span></div><div><span style="font-size:14px">Server certificate</span></div><div><span style="font-size:14px">-----BEGIN CERTIFICATE-----</span></div><div><span style="font-size:14px">    ----</span></div><div><span style="font-size:14px">-----END CERTIFICATE-----</span></div><div><span style="font-size:14px">subject=/CN=<a href="http://anja.haxx.se">anja.haxx.se</a></span></div><div><span style="font-size:14px">issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3</span></div><div><span style="font-size:14px">---</span></div><div><span style="font-size:14px">No client certificate CA names sent</span></div><div><span style="font-size:14px">Peer signing digest: SHA512</span></div><div><span style="font-size:14px">Server Temp Key: ECDH, P-256, 256 bits</span></div><div><span style="font-size:14px">---</span></div><div><span style="font-size:14px">SSL handshake has read 3143 bytes and written 302 bytes</span></div><div><span style="font-size:14px">Verification error: unable to verify the first certificate</span></div><div><span style="font-size:14px">---</span></div><div><span style="font-size:14px">New, TLSv1.2, Cipher is ECDHE-RSA-AES128-GCM-SHA256</span></div><div><span style="font-size:14px">Server public key is 2048 bit</span></div><div><span style="font-size:14px">Secure Renegotiation IS supported</span></div><div><span style="font-size:14px">Compression: NONE</span></div><div><span style="font-size:14px">Expansion: NONE</span></div><div><span style="font-size:14px">No ALPN negotiated</span></div><div><span style="font-size:14px">SSL-Session:</span></div><div><span style="font-size:14px">    Protocol  : TLSv1.2</span></div><div><span style="font-size:14px">    Cipher    : ECDHE-RSA-AES128-GCM-SHA256</span></div><div><span style="font-size:14px">    Session-ID: AB3322B63747715342DB68B4D18C27F98CF84D4A0E2711719E8B96FA5DA5C1FD</span></div><div><span style="font-size:14px">    Session-ID-ctx: </span></div><div><span style="font-size:14px">    Master-Key: 240CC5C33C7185E49C74076133DF385AB0282A3C68D6D6DC3CB74D0DB845E4242F61DA09A28B544CB5B1D39FA839E6AD</span></div><div><span style="font-size:14px">    PSK identity: None</span></div><div><span style="font-size:14px">    PSK identity hint: None</span></div><div><span style="font-size:14px">    SRP username: None</span></div><div><span style="font-size:14px">    TLS session ticket lifetime hint: 300 (seconds)</span></div><div><span style="font-size:14px">    TLS session ticket:</span></div><div><span style="font-size:14px">    .....</span></div><div><span style="font-size:14px">    Start Time: 39804</span></div><div><span style="font-size:14px">    Timeout   : 7200 (sec)</span></div><div><span style="font-size:14px">    Verify return code: 21 (unable to verify the first certificate)</span></div><div><span style="font-size:14px">    Extended master secret: no</span></div><div><span style="font-size:14px">---</span></div><div><span style="font-size:14px">closed</span></div><div><span style="font-size:14px">/tmp # </span></div></div><div><span style="font-size:14px"><br></span></div><div><span style="font-size:14px"><br></span></div><div><span style="font-size:14px">------------------------------from PC ok log--------------------------------------</span></div><div><div><span style="font-size:14px">georgeyang@georgeyang-virtual-machine:/mnt/hgfs/share/task/danale_task/3516a$ openssl x509 -subject -noout -in cacert-2016-11-02.pem </span></div><div><span style="font-size:14px">subject= /C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA</span></div><div style="font-size:14px"><br></div></div><div><div>georgeyang@georgeyang-virtual-machine:/mnt/hgfs/share/task/danale_task/3516a$ openssl s_client -connect <a href="http://curl.haxx.se:443">curl.haxx.se:443</a> -CAfile ./cacert-2016-11-02.pem </div><div>CONNECTED(00000003)</div><div>depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3                  //////////////////////////////////////depth 0,1,2/////////////////////////////////</div><div>verify return:1</div><div>depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3</div><div>verify return:1</div><div>depth=0 CN = <a href="http://anja.haxx.se">anja.haxx.se</a></div><div>verify return:1</div><div>---</div><div>Certificate chain</div><div> 0 s:/CN=<a href="http://anja.haxx.se">anja.haxx.se</a></div><div>   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3</div><div> 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3</div><div>   i:/O=Digital Signature Trust Co./CN=DST Root CA X3</div><div>---</div><div>Server certificate</div><div>-----BEGIN CERTIFICATE-----</div><div>       ----</div><div>-----END CERTIFICATE-----</div><div>subject=/CN=<a href="http://anja.haxx.se">anja.haxx.se</a></div><div>issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3</div><div>---</div><div>No client certificate CA names sent</div><div>---</div><div>SSL handshake has read 3148 bytes and written 443 bytes</div><div>---</div><div>New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256</div><div>Server public key is 2048 bit</div><div>Secure Renegotiation IS supported</div><div>Compression: NONE</div><div>Expansion: NONE</div><div>SSL-Session:</div><div>    Protocol  : TLSv1.2</div><div>    Cipher    : ECDHE-RSA-AES128-GCM-SHA256</div><div>    Session-ID: 5640820B2C49B9B2E68563DFDFC7303BE01DE69E7EB4C6C833B4F7872CD173E5</div><div>    Session-ID-ctx: </div><div>    Master-Key: 48783D2D0E03CE5EACB7AF2577E0E2AFE4F056B191BFB2641D08E602C54BF651B9C195DCFBD2AECC2092B035848B005B</div><div>    Key-Arg   : None</div><div>    PSK identity: None</div><div>    PSK identity hint: None</div><div>    SRP username: None</div><div>    TLS session ticket lifetime hint: 300 (seconds)</div><div>    TLS session ticket:</div><div>     ---</div><div>    Start Time: 1481718602</div><div>    Timeout   : 300 (sec)</div><div>    Verify return code: 0 (ok)</div><div>---</div><div>closed</div><div>georgeyang@georgeyang-virtual-machine:/mnt/hgfs/share/task/danale_task/3516a$ </div></div><div><br></div><div>--------------------------------------------------------------------------------------------------------</div><div><br></div><div>thank you for your help.</div><div>Thanks a lot.</div><div><br></div></div>