openssl verify [-CApath directory] [-CAfile file] [-purpose purpose] [-policy arg] [-verify_depth depth] [-ignore_critical] [-issuer_checks] [-crl_check] [-crl_check_all] [-policy_check] [-explicit_policy] [-inhibit_any] [-inhibit_map] [-x509_strict] [-extended_crl] [-use_deltas] [-policy_print] [-check_ss_sig] [-untrusted file] [-trusted file] [-CRLfile] [-help] [-verbose] [-engine e] [-] [certificates]

http://blog.csdn.net/as3luyuan123/article/details/16872101

-CApath directory     如果打算使用目录存储可信任库，那么

必须要以特定的方式命名文件

，此选项指定CA证书所在的目录，这个目录下可能存在证书链中的多个证书文件。为了能够对这个目录下的证书进行检索，证书文件必须要以特定的方式命名（

可使用c_rehash工具生成规范的命名

）：即需要遵循xxxxxxxx.，其中xxxxxxxx是openssl x509 -hash -in 证书， 的输出值，8个字母或数字。“.”是要有的

-CAfile  filename    指定CA的证书文件，PEM格式，这个文件里可能不只包含一个证书。如果需要对证书链进行验证，指定的文件中应包含所有的证书。加入*CA证书文件名为0.pem，一级CA证书文件为1.pem，二级证书文件为2.pem，待验证的证书文件是eve.pem，那么需要先将0.pem，1.pem证书文件的内容包含到2.pem中。证书文件都是文本文件，简单地使用cat命令就可以进行连接。

openssl verify -CApath CApath certself.pem

参考：http://blog.csdn.net/fym0121/article/details/8001190     http://blog.sina.com.cn/s/blog_72e502400100ql1f.html