Как найти, какой файл корневых сертификатов использует openssl в Debian?

Question

[VlLight]

Добрый день.
Есть достаточно старый web-сервер с Debian. С недавних пор php-скрипт с file_get_contents() начал выдавать ошибку:
file_get_contents(): SSL operation failed with code 1. OpenSSL Error messages:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed.
Команда openssl s_client -connect somesite.ru:443 в консоли выдаёт ответ Verify return code: 19 (self signed certificate in certificate chain)
Предположил, что это из-за отсутствия какого-то из корневых сертификатов на сервере, скачал новый файлик с корневыми сертификатами в каталог /usr/local/share/ с именем ca-certificates.crt, выполнил команду update-ca-certificates; в каталоге /etc/ssl/certs/ обновился файл ca-certificates.crt.
Но команда openssl s_client -connect somesite.ru:443 опять выдаёт ответ Verify return code: 19 (self signed certificate in certificate chain) :(
Причём если явно указать файл с сертификатами (openssl s_client -connect somesite.ru:443 -CAfile /etc/ssl/certs/ca-certificates.crt), то получаю ответ Verify return code: 0 (ok).
Как понять, какой файл с корневыми сертификатами используется openssl?

Comments

[Дмитрий]

https://www.madboa.com/geek/openssl/#what-certific...

Answer 1

[Vitaly Karasik]

openssl version -d

У моего дебиана это /usr/lib/ssl с симлинками в /etc/ssl

(спасибо https://stackoverflow.com/questions/4138139/how-to..., сам нее помнил)

Answer 2

[VlLight]

Спасибо, у моего аналогично /usr/lib/ssl с симлинками в /etc/ssl
Но тогда я вообще не понимаю, почему без явного указания файла с сертификатами, openssl s_client -connect somesite.ru:443 не находит сертификата :(

UPD: Vitaly Karasik , спасибо. Почитал по ссылке, записал файл с корневыми сертификатами как /usr/lib/ssl/cert.pem, после этого всё заработало. Непонятно, почему ему не нравятся сертификаты в /usr/lib/ssl/certs, волшебство.