Исправление router, (текущая версия) :
1) Ты делаешь что-то неправильно
я скачал http://gb.symcb.com/gb.crt, конвертировал в PEM. Взял дебиановский же /etc/ssl/certs/GeoTrust_Global_CA.pem
Скопировал их в ~/cert_test/ca. перешёл туда, выполнил c_rehash вернулся в каталог с тестовым сертификатом
router@amalthea:cert_test$ openssl verify -CApath ca/ test.crt
test.crt: OK
2) Авторы сайта https://sales.russoutdoor.ru страдают некоторой криворукостью. Они должны были включить в цепочку три сертификата, а включили только два, минуя промежуточный.
3) посмотри strace. Можно указать openssl ЛЮБОЙ CAfile, при этом он полезет за сертификатами в дефолтный CApath.
И ещё. У меня есть подозрение, что когда ты указываешь CAfile с промежуточным сертификатом ( gb.pem, «Subject: C=US, O=GeoTrust Inc., CN=GeoTrust SSL CA - G2») , openssl удовлетворяется уже на проверке промежуточного сертификата, т.к. ты назвал его доверенным.
Исходная версия router, :
1) Ты делаешь что-то неправильно
я скачал http://gb.symcb.com/gb.crt, конвертировал в PEM. Взял дебиановский же /etc/ssl/certs/GeoTrust_Global_CA.pem
Скопировал их в ~/cert_test/ca. перешёл туда, выполнил c_rehash вернулся в каталог с тестовым сертификатом
router@amalthea:cert_test$ openssl verify -CApath ca/ test.crt
test.crt: OK
2) Авторы сайта https://sales.russoutdoor.ru страдают некоторой криворукостью. Они должны были включить в цепочку три сертификата, а включили только два, минуя промежуточный.
3) посмотри strace. Можно указать openssl ЛЮБОЙ CAfile, при этом он полезет за сертификатами в дефолтный CApath.