OpenSSL 0.9.8zc-> 0.9.8zd“破坏”了我的证书。

我有一个使用OpenSSL 0.9.8zc在Mac上创建的自签名证书（和CA）。我使用证书来确保与svn服务器的连接安全。使用最新的OS X更新，OpenSSL已更新为0.9.8zd。现在，我无法连接到服务器，我从svn收到“证书验证失败”。

使用openssl验证：

openssl verify -CAfile ~/Desktop/Certificates.pem -check_ss_sig  ~/Downloads/svn.pem

我懂了

~/Downloads/svn.pem: /CN=My Open Directory Certification Authority/O=Me/OU=MACOSX OpenDirectory Root CA/emailAddress=webmaster@me
error 7 at 2 depth lookup:certificate signature failure

看来我的CA签名现在被视为“已损坏”。我的问题：

1. 我如何进一步调查以找出证书的“破损”，因此我不再重复此错误？

2. 有没有一种方法可以解决此问题，而不必重新发行以CA开头的每个证书？

似乎这与Certificate Assistant生成格式错误的证书有关，Opens 0.9.8zd的新的更严格的检查拒绝了这个问题。这来自openssl.org的讨论1

最后，它包含一个修复.pem证书的python脚本，我成功使用了该证书。如果链接断开，我会引用它。

from pyasn1.codec.der import decoder, encoder   
from pyasn1_modules import pem, rfc2459

cert_der = pem.readPemFromFile(open("RabbitMQ_Test.pem", "r"))
        cert, _ = decoder.decode(cert_der, asn1Spec=rfc2459.Certificate())

cert.setComponentByName("signatureAlgorithm",
                                cert.getComponentByName("tbsCertificate").
                                getComponentByName("signature"))

fixed_cert_pem = open("RabbitMQ_Test_Fixed.pem", "w")
fixed_cert_pem.write("-----BEGIN CERTIFICATE-----\n")
fixed_cert_pem.write(encoder.encode(cert).encode("base64"))
fixed_cert_pem.write("-----END CERTIFICATE-----\n")
fixed_cert_pem.close()

如果您使用的是OS X 10.10.3，那么这刚刚开始发生：

注意：这是一个临时解决方法，看来问题在更上游

由于将OSX升级到10.10.3，我突然开始出现此错误-如您所说，该中断似乎是由它们包含的新版本的OpenSSL（0.9.8zd）引起的。

作为一种解决方法，直到我们深入了解这一点为止，我使用了自制软件的OpenSSL软件包-

$ brew update
$ brew install openssl
$ brew link openssl --force 

您可能还需要更新过时的证书，使用rvm只是运行情况

$ rvm osx-ssl-certs update all

但是从它的声音中，你知道你在做什么

还值得注意的是，自制程序建议不要链接openssl，因此一旦在上游进行了整理，您可能会希望运行此命令来清理我们造成的混乱：

$ brew unlink openssl 

当尝试使用客户端和服务器证书连接到在10.10.3上运行的Apache服务器时，我遇到了类似的问题。python脚本可以为Apache使用SSL服务器证书，但是Safari仍无法使用钥匙串中的客户端证书连接到服务器；Apache服务器拒绝了客户端证书。

我必须导出客户端证书，在其上使用python脚本，然后将其重新导入到钥匙串中以替换原始证书。