Проверка сертификата TLS не удалась в Debian 9 – отсутствует корневой центр сертификации даже после извлечения промежуто ⇐ Linux

[Anonymous]

Я пытаюсь установить соединение HTTPS/TLS с Raspberry Pi под управлением Debian 9 с помощью OpenSSL.
когда я запускаю
openssl s_client -connect :443 -servername
Я вижу, что сервер отправляет:

• a сертификат сервера
• промежуточный сертификат CA

Однако проверка сертификата завершается с ошибкой типа:

невозможно получить сертификат эмитента
Насколько я понимаю, проверка сертификата TLS включает в себя цепочку доверия:

• Корневой центр сертификации
• Промежуточный центр сертификации
• Сертификат сервера

Изначально моя система не доверяла промежуточному центру сертификации, поэтому я извлек промежуточный сертификат из подтверждения TLS и добавил его в системе.
Даже после этого проверка по-прежнему не выполняется, поскольку корневой центр сертификации отсутствует или не является надежным в хранилище системного центра сертификации Debian 9.
Я также узнал, что:

• корневой сертификат не отправляется сервером
• Он уже должен существовать в доверенном центре сертификации клиента Bundle
• Старые версии Debian могут иметь устаревшие сертификаты CA

Вопросы:

• Правильно ли я понимаю цепочку сертификатов TLS?
• Почему установка только промежуточного сертификата не полностью решает проблему проблема?
• Каков правильный подход к доверию необходимому корневому центру сертификации в старых системах Debian?

Подробнее здесь: https://stackoverflow.com/questions/798 ... after-extr