Кажется, корневой сертификат GlobalSign R1 не входит в доверенный CA по умолчанию в CentOS 7.3.
Я проверяю список доверенных CA следующим образом:
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/;' < /etc/ssl/certs/ca-bundle.crt Вот список корневых сертификатов GlobalSign: https://support.globalsign.com/customer/portal/articles/1426602-globalsign-root-certificates
Есть ли причина, по которой R1 нет в этом списке?
Корень R1 фактически не назывался «R1» во время его создания. Фактическое название предмета:
CN=GlobalSign Root CA, OU=Root CA, O=GlobalSign nv-sa, C=BE Для старых корней характерно отсутствие нумерации, потому что в то время никто не думал, что в будущем им понадобится более одного корня ~ 20 лет.