Warum tritt der Fehler "openssl windows unable to get local issuer certificate" auf und wie kann ich ihn beheben?

1. Einleitung zum Fehler "unable to get local issuer certificate"
2. Ursachen für den Fehler unter Windows
3. Wie lässt sich der Fehler beheben?
4. Besonderheiten bei der Verwendung von OpenSSL unter Windows
5. Fazit

Einleitung zum Fehler "unable to get local issuer certificate"

Der Fehler "unable to get local issuer certificate" bei der Verwendung von OpenSSL unter Windows deutet darauf hin, dass OpenSSL die Zertifikatskette nicht korrekt validieren kann. Genauer gesagt fehlt dem System das passende Zwischenzertifikat oder Root-Zertifikat, sodass die Vertrauenskette zum ausstellenden Zertifikat nicht vollständig nachvollziehbar ist. Dies führt dazu, dass OpenSSL die Verbindung als unsicher einstuft und die Kommunikation abbricht. Gerade unter Windows, wo Zertifikatspeicher und Umgebungsvariablen anders gehandhabt werden als unter Linux, ist dieser Fehler häufig zu beobachten.

Ursachen für den Fehler unter Windows

Eine der Hauptursachen besteht darin, dass OpenSSL standardmäßig nicht auf den Windows-eigenen Zertifikatspeicher zugreift. Stattdessen erwartet es, eine Datei mit den vertrauenswürdigen Root-Zertifikaten (z. B. eine ca-bundle Datei) zu finden, um die Signaturkette zu überprüfen. Ist diese Datei nicht vorhanden oder verweist die OpenSSL-Konfiguration nicht darauf, kann OpenSSL die lokale Aussteller-Zertifikate nicht ermitteln. Weiterhin kann es vorkommen, dass das Zwischenzertifikat, welches von der ausstellenden Zertifizierungsstelle signiert wurde, fehlt oder nicht korrekt in die Zertifikatskette eingebunden wurde. Auch falsch konfigurierte Umgebungsvariablen oder veraltete OpenSSL-Versionen können diese Problematik verursachen.

Wie lässt sich der Fehler beheben?

Zunächst sollte sichergestellt werden, dass in der OpenSSL-Konfiguration (openssl.cnf) oder über Umgebungsvariablen der Pfad zu einer gültigen Datei mit Root-Zertifikaten gesetzt ist. Diese Zertifikatsdatei kann von vertrauenswürdigen Stellen wie Mozilla als PEM-bündel heruntergeladen werden. Alternativ bietet es sich an, den Windows Zertifikatspeicher in eine kompatible PEM-Datei zu exportieren und OpenSSL darauf zugreifen zu lassen. Zudem hilft es, das komplette Zertifikat inklusive der Zwischenzertifikate im richtigen Format beim Server einzubinden. Dabei ist wichtig, dass die Zertifikatskette vollständig und korrekt sortiert ist: zuerst das eigene Zertifikat, dann eventuelle Zwischenzertifikate und am Ende das Root-Zertifikat. Ein Upgrade auf die neueste OpenSSL-Version und das Überprüfen der Umgebungsvariablen für OpenSSL (z.B. SSL_CERT_FILE oder SSL_CERT_DIR) kann ebenfalls Probleme lösen.

Besonderheiten bei der Verwendung von OpenSSL unter Windows

Im Gegensatz zu Linux-Systemen fehlt Windows ein einheitliches Verzeichnis für CA-Zertifikate, weshalb OpenSSL auf Windows-Plattformen auf externe Zertifikatsbündel angewiesen ist. Weiterhin ist die Verwendung der OpenSSL-Binary über die Eingabeaufforderung häufig von den Umgebungsvariablen abhängig. Es kann hilfreich sein, in der Kommandozeile explizit den Parameter "-CAfile" zu verwenden, um OpenSSL mitzuteilen, wo sich die vertrauenswürdigen Zertifikate befinden. Manche Benutzer ziehen es vor, den Zertifikatsspeicher des Browsers oder Betriebssystems separat zu exportieren, da OpenSSL selbst keine native Anbindung daran hat.

Fazit

Der Fehler "unable to get local issuer certificate" ist bei OpenSSL unter Windows ein häufig auftretendes Problem und resultiert meist aus fehlenden oder falsch eingebundenen Zertifikaten in der Vertrauenskette. Eine systematische Überprüfung der Zertifikatskonfiguration, das Verwenden eines vollständigen CA-Bundles sowie das korrekte Einbinden aller Zwischenzertifikate helfen in den meisten Fällen, die Ursache zu beseitigen. Auch das Verständnis, dass OpenSSL unter Windows anders funktioniert als auf Linux, ist hilfreich, um diesen Fehler nachhaltig zu beheben.