<div dir="ltr">The certs are built into a stack... they are pushed... so element 0 is the last thing in the list.<div>The chain starts with 0, and then can search the rest.</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 9, 2018 at 2:55 PM, Norm Green <span dir="ltr"><<a href="mailto:norm.green@gemtalksystems.com" target="_blank">norm.green@gemtalksystems.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 1/9/2018 6:03 AM, Benjamin Kaduk wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Did you try something like (with a 1.1.0 installation):<br>
<br>
openssl verify -CAfile RootCA.pem -untrusted chain.pem chain.pem<br>
<br>
with the leaf certificate as the first one in chain.pem?<br>
</blockquote>
<br></span>
Same result. The only way it seems to work is if the leaf cert appears at the end of the file.<span class="HOEnZb"><font color="#888888"><br>
<br>
Norm</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
-- <br>
openssl-users mailing list<br>
To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer" target="_blank">https://mta.openssl.org/mailma<wbr>n/listinfo/openssl-users</a><br>
</div></div></blockquote></div><br></div>