<div dir="ltr">Hi!<br><div class="gmail_extra"><br><div class="gmail_quote">2015-01-30 19:25 GMT+01:00 <a href="mailto:e@bestmx.net" target="_blank">e@bestmx.net</a> <span dir="ltr"><<a href="mailto:e@bestmx.net" target="_blank">e@bestmx.net</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi, all.<br>
<br>
SSL: certify: ssl_alert.erl:92:Fatal error: unknown ca<br>
<br>
I know this issue generates thousands of "hits" in google-search<br>
yet google does not reveal a consistent explanation (not a recipe!)<br>
<br>
first of all: Unknown TO WHOM???<br></blockquote><div><br></div><div><br></div><div>To the client or server trying to verify its peer certificate.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
secondly: What CA will be considered known?<br>
<br></blockquote><div><br></div><div>The  root CA must be present in the verifiers CA database (cacertfile or corresponding option for that client/server). </div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
what properties of CA are required?<br>
may we assume that "CA" and "a certificate file" are synonyms in the current context? otherwise, what is CA and how is it represented?<br>
<br></blockquote><div><br></div><div>Certificates and CA certificates are defined in RFC 5280. The are defined by as ASN-1 specifications and can normaly be inputed as ASN-1 DER (binary format) or</div><div>as a PEM file (a text file representaion of the "DER-blob"). </div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
and last but not least: Might be this error induced by some lower-level reason, unrelated to "CA familiarity", for example unacceptable certificate format?<br>
<br></blockquote><div><br></div><div>That would result in a diffrent error. </div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
My config is:<br>
{cacertfile, Dir ++ "ca.crt"}   % self-signed<br>
{certfile, Dir ++ "server.crt"} % signed by ca.crt<br>
{keyfile, Dir ++ "server.key"}<br>
% no other options are explicitly specified<br>
<br></blockquote><div><br></div><div>This is only the options of the server. The client needs to have the ca.crt in its configuration to be able</div><div>to verify the servers cert.</div><div><br></div><div>Regards Ingela  Erlang/OTP team - Ericsson AB</div><div><br></div><div><br></div><div><br></div><div> </div></div></div></div>