[comment]: # ({64bb0393-64bb0393})
# 2 Проблеми са сертификатом

[comment]: # ({/64bb0393-64bb0393})

[comment]: # ({123d3f4b-123d3f4b})
#### OpenSSL се користи са CRLs и за неке CA у ланцу сертификата његов CRL није укључен у `TLSCRLFile`

У евиденцији TLS сервера у случају *OpenSSL* peer:

    није успео да прихвати долазну везу: од 127.0.0.1: TLS руковање са 127.0.0.1 вратио код грешке 1: \
        датотека s3_srvr.c линија 3251: грешка: 14089086: SSL рутине: ssl3_get_client_certificate: верификација сертификата није успела: \
        TLS пише фатално упозорење "непознати CA"

У евиденцији TLS сервера у случају *GnuTLS* peer:

    није успео да прихвати долазну везу: од 127.0.0.1: TLS руковање са 127.0.0.1 вратио код грешке 1: \
        датотека rsa_pk1.c ред 103: грешка:0407006А: rsa рутине:RSA_padding_check_PKCS1_type_1:\
        тип блока није 01 фајл rsa_eay.c ред 705: грешка:04067072: rsa рутине:RSA_EAY_PUBLIC_DECRYPT:paddin

[comment]: # ({/123d3f4b-123d3f4b})

[comment]: # ({7be8a029-7be8a029})
#### CRL је истекао или истиче током рада сервера

[*OpenSSL*]{.underline}, у логу сервера:

- пре истека:

```{=html}
<!-- -->
```
не могу да се повежем са проксијем "proxy-openssl-1.0.1e": TCP успешан, не могу да успоставим TLS на [[127.0.0.1]:20004]:\
SSL_connect() је вратио SSL_ERROR_SSL: датотека s3_clnt.c линија 1253: грешка:14090086:\
SSL рутине:ssl3_get_server_certificate:верификација сертификата није успела:\
TLS упозорење о писању "сертификат опозван"

- након истека:

```{=html}
<!-- -->
```
не могу да се повежем са проксијем "proxy-openssl-1.0.1e": TCP успешан, не могу да успоставим TLS на [[127.0.0.1]:20004]:\
SSL_connect() је вратио SSL_ERROR_SSL: датотека s3_clnt.c линија 1253: грешка:14090086:\
SSL рутине:ssl3_get_server_certificate:верификација сертификата није успела:\
TLS упозорење о писању "сертификат је истекао"

Поента је да се са важећим CRL-ом опозвани сертификат пријављује
као "сертификат је опозван". Када CRL истекне, порука о грешци се мења у
"сертификат је истекао", што је прилично обмањујуће.

[*GnuTLS*]{.underline}, у логу сервера:

- пре и после истека исто:

```{=html}
<!-- -->
```
не могу да се повежем са проксијем "proxy-openssl-1.0.1e": TCP успешан, не могу да успоставим TLS на [[127.0.0.1]:20004]:\
неважећи peer сертификат: Сертификат НИЈЕ поуздан. Ланац сертификата је опозван.

[comment]: # ({/7be8a029-7be8a029})

[comment]: # ({d0a3efb1-e3030ed0})
#### Самопотписани сертификат, непознат CA

[*OpenSSL*]{.underline}, у евиденцији:

    error:'самопотписани сертификат: SSL_connect() постави код резултата на SSL_ERROR_SSL: датотека ../ssl/statem/statem_clnt.c\
          ред 1924: грешка:1416F086:SSL рутине:tls_process_server_certificate:верификација сертификата није успела:\
          TLS напише фатално упозорење "непознати CA"'

Ово је примећено када је серверски сертификат грешком имао истог издаваоца
и Субјекат стринг, иако га је потписао CA. Издавач и Субјект су
једнаки у CA сертификату највишег нивоа, али не могу бити једнаки у серверу
сертификат. (Исто важи и за сертификате проксија и агента.)

Да бисте проверили да ли сертификат садржи исте уносе издаваоца и предмета, покрените:

```
openssl x509 -in <yourcertificate.crt> -noout -text
```

Прихватљиво је да основни сертификат (највишег нивоа) има идентичне вредности за издаваоца и субјекта.

[comment]: # ({/d0a3efb1-e3030ed0})