Hallo,

nach viele freundlicher Hilfe in diesem Board gelingt mir eine SOAP SSL-Kommunikation(?) zu einem Server, indem ich die Client-Zertifikate eingestellt habe mit:

$ENV{HTTPS_KEY_FILE} = 'client.key';
$ENV{HTTPS_CERT_FILE} = 'client.cert';

Jetzt habe ich noch ein Server-Zertifikat als ".cer"-Datei (wie das richtig heisst weiss ich nicht, auf jeden Fall ein binäres Format, welches mit den Windows Krypto-Shell erweiterungen funktioniert). Dieses wollte ich mittels:

$ENV{HTTPS_CA_FILE} = "server.cer"

verwenden, das klappt aber nicht. Die Fehlermeldung ist auch nicht eindeutig, es scheitert an der Überprüfung der Zertifikate. Mit OpenSSL client klappt das aber ...

Die Frage nun: Kann ich solche Dateien direkt verwenden, oder brauche ich auch die Server-Zertifikate im "pem"-Format?

Oder blicke ich es mal wieder nicht, bzw. habe was übersehen?

Du brauchst dafür das Root-Zertifikat des Servers, damit die Gültigkeit, die Sigantur deines Zertifikats überprüft werden kann!

Es soll sich bei diesem Zertifikat um genau das Root-Zertifikat handeln. Lustig dabei ist allerdings, dass die Verbindung und der Aufruf des Web-Service OHNE das Zertifikat klappt und ich auch Daten bekomme.

Bedeutet dies nun, dass mit der Server-Konfiguration was nicht stimmt, oder bedeutet dies, dass die Authentisierung schlicht und ergreifend nicht abläuft??

Brauche ich das Root-Zertifikat auch im PEM-Format? Oder in welchem Format muss dies vorliegen?

das Root-Zertifikate brauchst du nur dann, wenn du sicher gehen willst, dass der server auch wirklich der server ist, der er vorgibt zu sein

Genau das soll es auch tun, der Client soll sich gegenüber dem Server authentifizieren und umgekehrt ...