6

我正在使用本地 https 协议和假证书。

使用时django-openid-auth,它给了我这个错误:

OpenID failed

OpenID discovery error: Error fetching XRDS document: (60, 'server certificate         verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none')

我怎样才能解决这个问题?

4

1 回答 1

1

以我的经验,在大多数情况下,验证者对自签名证书很挑剔。

通常,在使用“假”证书时,您应该始终采取额外步骤并创建假 CA 并使用 CA 签署假证书。如果不出意外,这会让您的测试更像是一个真实的场景。

以下是有关如何使用 OpenSSL 执行此操作的简要说明:

  1. 创建 CA(自签名)openssl req -x509 -new -out ca.crt -keyout ca.key -days 3650
  2. 创建服务器密钥和 csropenssl req -out server.csr -pubkey -new -keyout server.secure.key
  3. 取下密码openssl rsa -in server.secure.key -out server.key
  4. 使用 CA 签署服务器证书openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 1825
  5. (对于进一步的证书,使用现有的序列号openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAserial ca.srl -out server.crt -days 1825

每当您遇到任何SSL(不仅仅是 HTTPS)问题时 - 使用 rawopenssl进行调试

openssl s_verify -connect <hostname>:<portnumber> <options>

例如

openssl s_verify -connect localhost:443 -CAfile myfakeca.pem

这通常会为您节省很多麻烦来找出与您的代码实际上无关的实际证书的问题。

于 2013-10-03T07:06:52.657 回答