Lors de l'utilisation du SSL, il n'est pas rare rencontrer cette erreur, voici une explication détaillée de la façon de l'éviter.\\

Dans l'exemple ci-dessus, nous avons une erreur sur le certificat ''Thawte SGC CA'' car son émetteur ''VeriSign, Inc.'' n'est pas connu. La réponse à ce problème est la création d'une liste de certificats (racines) de confiance qui deviendront les premiers maillons des futures chaines de confiance.

%left bgcolor=#ffffcc border='1px dotted red' padding=5px%Attention, en ajoutant un certificat racine à la liste des certificats de confiance (Trusted certificates) nous accepterons d'office l'ensemble des certificats qu'il a émis et qu'il émettra sur la base du principe suivant : les amis de mes amis sont aussi mes amis.

(:description  II► How to avoid the unable to get local issuer certificate error :)

Grâce à l'option ''-showcerts'', il est possible d'afficher les certificats retournés par le serveur lors de la requête '''s_client''' mais attention, car cette chaîne de confiance n'est ni forcement complète ni digne de confiance.\\

Dans notre exemple, nous avons une erreur sur le certificat ''Thawte SGC CA'' car nous n'avons pas fournit le certificat de son émetteur.

%left bgcolor=#ffffcc border='1px dotted red' padding=5px%Attention, en fournissant le certificat racine nous accepterons d'office l'ensemble des certificats qu'il a émis et émettra sur la base du principe suivant : les amis de mes amis sont aussi mes amis.

Cette méthode utilise un répertoire unique unique contenant tous les certificats sous forme de fichiers indépendants.\\

%left bgcolor=#ffffcc border='1px dotted red' padding=5px%Le nom du fichier contenant le certificat est calculé par ''hash'' de la valeur du CN suivi d'une extension numérique pour éviter les collisions dûes à deux valeurs de hash identiques.

%left bgcolor=#ffffcc border='1px dotted red' padding=5px%Le nom du fichier contenant le certificats est obtenu par ''hash'' de la valeur du CN suivi d'une extension numérique pour éviter les collisions dûes deux valeurs de hash identiques.

(:keywords openssl, certificats, x509, PEM, certificat:)

%right% [[http://www.google.com/translate?u=http%3A%2F%2Fwww.grandville.net%2Fpmwiki.php%3Fn%3D{$FullName}&langpair=fr%7Cen&hl=fr&ie=UTF8|http://www.grandville.net/pub/img/GB.gif]]  [[http://www.google.com/translate?u=http%3A%2F%2Fwww.grandville.net%2Fpmwiki.php%3Fn%3D{$FullName}&langpair=fr%7Cde&hl=fr&ie=UTF8|http://www.grandville.net/pub/img/D.gif]]

Cette méthode simple consiste à fournir un fichier contenant une ou plusieurs CA (en conservant les étiquettes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE----- pour chacun).\\
Nous pourrions avoir la mauvaise idée d'utiliser le certificat retourné par le serveur comme étant la racine d'une chaine de confiance commençant à Thawte SGC CA, reste que dans ce cas, ce certificat n'étant pas racine (un certificat racine est forcement un certificat x509 autosigné), nous aurions toujours une erreur.\\

La seule méthode valable consiste à télécharger les root CA de Verisign (et Thawte car acheté fin 1999 par Verisign)\\
[[https://www.verisign.com/support/roots.html|VeriSign Primary PCA Root Certificates]].\\

Cette méthode permet d'éviter la création d'un fichier unique contenant tous les certificats en permettant le stockage de l'ensemble des certificats racines (sous forme de fichiers indépendants) dans un unique répertoire.

Reste à renommer le certificat avec la valeur obtenue ci-dessus et à lui ajouter un suffixe numérique commençant à zéro pour parer l'éventualité d'une collision de valeur de hash.\\

Grâce à l'option -showcerts, il est possible d'afficher les certificats retournés par le serveur lors de la requête.\\
Attention, car cette chaîne de confiance n'est pas forcement complète ni crédible.\\

%left bgcolor=#ffffcc border='1px dotted red' padding=5px%Le nom du fichier contenant le certificats est obtenu par ''hash'' de la valeur du CN suivi d'une extension numérique pour éviter les collisions dûes à un hash donnant la même vameur qu'un autre.

Reste à renommer le certificat avec la valeur obtenue ci-dessus et à ajouter un suffixe numérique commençant à zéro pour parer l'éventualité d'une collision des hash.\\

La seule méthode valable consiste à télécharger les root CA de Verisign (et Thawte car acheté fin 1999 par Verisign) à l'adresse https://www.verisign.com/support/roots.html.\\

Attention, car cette chaîne n'est pas forcement complète ni crédible.\\
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MIIDIzCCAoygAwIBAgIEMAAAAjANBgkqhkiG9w0BAQUFADBfMQswCQYDVQQGEwJV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Cette méthode se limite un fichier contenant une ou plusieurs CA (en conservant les étiquettes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE----- pour chacun).\\
Nous pourrions avoir la mauvaise idée d'utiliser le certificat retourné par le serveur comme étant la racine d'une chaine de confiance commençant à Thawte SGC CA, reste que dans ce cas, ce certificat n'étant pas racine, nous aurions toujours une erreur.\\

La seule méthode consiste à télécharger les root CA de Verisign (et Thawte car acheté fin 1999 par Verisign) à l'adresse https://www.verisign.com/support/roots.html.\\
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Cette méthode permet de s'affranchir de la sélection d'un certificat particulier en fournissant une liste de certificats racines.

%left bgcolor=#ffffcc border='1px dotted red' padding=5px%Les noms des certificats du répertoire sont obtenus par ''hash'' de la valeur de leurs CN suivi d'une extension numérique.

Reste à renommer le certificat et à ajouter un suffixe numérique commençant à zéro pour parer l'éventualité d'une collision des hash.\\

Le fichier concernant de certificat ''Class 3 Public Primary Certification Authority'' (étiquette OU de l'emétteur du certificat thawte) est le fichier PCA3ss_v4.509\\

Notre fichier PCA3ss_v4.crt s'appelle maintenant a386470b.0

Cette chaîne n'est d'ailleurs pas forcement complète ni crédible.\\

Cette méthode se limite à une seule CA qu'il faut de plus sélectionner avant de faire la requête.\\
Nous pourrions utiliser le certificat retourné par le serveur comme étant la racine d'une chaine de confiance commençant à Thawte SGC CA, reste que dans ce cas, ce certificat n'étant pas racine, nous aurions toujours une erreur.\\

Le fichier concernant ''Class 3 Public Primary Certification Authority'' que nous cherchons s'appelle PCA3ss_v4.509\\

%left bgcolor=#ffffcc border='1px dotted red' padding=5px%Le nom des certificats du répertoire sont obtenus par hash de la valeur de leurs CN

OpenSSL> x509 -noout -hash -in PCA3ss_v4.crt\\

OpenSSL> s_client -CApath C:\TrustedCA\ -showcerts -connect www.google.com:443

Reste à renommer le certificat et à ajouter un suffixe commençant à zéro pour traiter l'éventualité d'une collisions des hash.\\

Le fichier concernant ''Class 3 Public Primary Certification Authority'' que nous cherchons s'appelle PCA3ss_v4.\\
Nous devons encore le convertir par

verify error:num=20:%red%unable to get local issuer certificate%%\\

[=-----=]END CERTIFICATE-----\\
1 s:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA\\

   Verify return code: 20 (%red%unable to get local issuer certificate%%)

read:errno=0\\
OpenSSL>

Dans notre exemple, nous avons une erreur sur le certificat ''Thawte SGC CA'' car nous n'avons pas fournit le certificat de son émetteur. En fournissant ce dernier nous accepterions l'ensemble de la chaîne car les amis de mes amis sont aussi mes amis. Il nous faut donc reconnaitre le maillon racine comme sûre pour que toute sa descendance soit elle aussi réputée comme sûre.

Cette méthode est la plus simple mais se limite à une seule CA qu'il faut de plus sélectionner avant de faire la requête.\\
Nous pourrions utiliser le certificat retourné par le serveur comme étant la racine de notre chaine de confiance commençant à Thawte SGC CA, reste que dans ce cas, ce certificat n'étant pas racine, nous aurions toujours une erreur.\\

Le fichier concernant ''Class 3 Public Primary Certification Authority'' que nous cherchons est PCA3ss_v4. Nous devons encore convertir par \\

   Verify return code: 0 (ok)

%left bgcolor=#ffffcc border='1px dotted red' padding=5px%Le nom des certificats du répertoire est obtenu par hash de la valeur du CN

Il est possible d'obtenir lors que la requête à https:\\www.google.com d'obtenir l'ensemble de la chaine de certification grâce à l'option -showcerts

verify error:num=20:unable to get local issuer certificate\\

Pour éviter cela, lors de la requête il faut indiquer quelles sont les CA acceptées.

Cette méthode est la plus simple car il suffit alors d'indiquer qu'elle est la CA trustée.\\
La méthode la moins sécurisée consiste à utiliser le certificat retourné par le serveur comme étant la CA de confiance (ici le certificat en deuxiéme position).\\
La méthode la plus sécurisée consiste à télécharger les root CA de Verisign et Thawte (acheté fin 1999 par Verisign) à l'adresse https://www.verisign.com/support/roots.html.\\
Le fichier concernant ''Class 3 Public Primary Certification Authority'' est PCA3ss_v4.\\

OpenSSL> '''x509  -inform der -in "D:\temp\VeriSign - Thawte Combined Roots\VeriSign_Roots\PCA3ss_v4.509"'''
-----BEGIN CERTIFICATE-----