обновление OpenSSL | ошибка проверки сертификата

Я работаю на машине CentOS7 и пытаюсь обновить версию openssl моей машины 1.0.2k -> 1.1.0l. Похоже, что процесс рукопожатия с моим сервером (который не изменился) не работает после обновления, и я пытаюсь выяснить причину.

Выполнение следующей команды с обеими версиями openssl:

openssl s_client -showcerts -connect сервер:порт

В результате произошел сбой с более новым (если я предоставлю проверку -CAfile, работает с обоими). Отличие результата:

Старый 1.0.2k (рукопожатие успешно):

Временный ключ сервера: ECDH, P-256, 256 бит Новый, TLSv1/SSLv3, шифр ECDHE-RSA-AES128-GCM-SHA256. Новый 1.1.0л (проваливается рукопожатие):

Временный ключ сервера: X25519, 253 бита Новый, TLSv1.2, шифр ECDHE-RSA-AES128-GCM-SHA256. Код возврата проверки: 20 (не удалось получить сертификат локального эмитента) Я был бы признателен за помощь в понимании разницы и почему они разные.

к вашему сведению, я начал аналогичную угрозу здесь: https://stackoverflow.com/questions/68763253/openssl-upgrade-fail-validating-certificate?noredirect=1#comment121583146_68763253 без особой удачи.

Спасибо :)

в Centos 7 вы также можете решить эту проблему с помощью следующих команд:

#Подготовка к компиляции
установка yum https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm -y
yum groupinstall -y "Средства разработки" "Библиотеки разработки"

#Собрать из исходников
компакт-диск /USR/SRC
# --no-check-certificate из-за этой проблемы ваша система не будет проверять сертификат letsencrypt на openssl.org, пока не завершите обновление
wget --no-check-certificate https://www.openssl.org/source/openssl-1.1.1l.tar.gz
tar -zxf openssl-1.1.1l.tar.gz
компакт-диск openssl-1.1.1l
./конфиг
делать
сделать установку

yum установить ca-сертификаты -y 

Для дальнейшего использования добавьте решение здесь.

После начала работы с версией openssl> 1.0.2k на Centos7, кажется, что в пути разрешения root есть поведенческие изменения.

Openssl проходит через предопределенный список местоположений хранилища сертификатов, однако, как только он встречает файл cert.pem в /val/ssl, он проверяет его и терпит неудачу, если не может проверить ваш пульт.

Мой «хороший» сертификат находился в /etc/ssl, и, поскольку это была машина клиента, я не мог попросить его удалить файл /var/ssl.

Мое решение состояло в том, чтобы программно выбрать правильный cert.pem в случае сбоя openssl (без изменения версии openssl машины, что было запрещено).