Перед добавлением сертификата на сервера в продакшн бывает полезно проверить соответствие имеющегося сертификата и УЦ. Особенно это актуально когда УЦ является промежуточным и его так же необходимо пересылать клиенту(браузеру).
На самом деле всё более, чем очень просто. Для проверки нужна всего лишь одна команда:
openssl verify -verbose -CAfile cacert.pem mycert.crt
Где, собственно, mycert.crt — ваш сертификат, соответствие которого нужно проверить, а cacert.pem — сертификат удостоверящего центра (УЦ).
Нормальным выводом будет
mycert.crt: OK
В таком случае всё хорошо и можно не переживать. Однако такой вывод можно получить только если в файле с сертификатом УЦ присутствует полная цепочка. Если нет — возможны ошибки вроде
mycert.crt: /C=US/O=GeoTrust Inc./CN=RapidSSL SHA256 CA — G2
error 2 at 1 depth lookup:unable to get issuer certificate
Данное сообщение говорит о том, что указанный сертификат проверен и действительно подписан указанным выше УЦ, однако сам УЦ проверить не удалось ибо нет вышестоящего сертификата (цепочка не полная)