30选5玩法|福彩30选5开奖结果321|

Linux使用curl访问https站点时报错汇总

来源:本站原创 IT必备工具 超过1,199 views围观 0条评论

每一种客户端在处理https的连接时都会使用不同的证书库。

IE浏览器和FireFox浏览器都可以在本浏览器的控制面板中?#19994;?#35777;书管理器。

在证书管理器中可以自由添加、删除根证书。

而linux的curl使用的证书库在文件“/etc/pki/tls/certs/ca-bundle.crt”?#23567;#–entOS)

495  cat /etc/pki/tls/certs/ca-bundle.crt
496  rz
497  cat full_chain.pem >> /etc/pki/tls/certs/ca-bundle.crt    将证书链导入
498  curl https://www.baidu.com
499  curl https://www.ccie.wang

 

以下是curl在访问https站点时常见的报错信息

1.Peer’s Certificate issuer is not recognized
    1. [[email protected] nginx]# curl https://m.ipcpu.com
    2. curl: (60) Peer's Certificate issuer is not recognized.
    3. More details here: http://curl.haxx.se/docs/sslcerts.html

此种情况多发生在自签名的证书,报错含义是签发证书机构未经认证,无法识别。

解决办法是将签发该证书的?#25509;蠧A公钥cacert.pem文件内容,追加到/etc/pki/tls/certs/ca-bundle.crt。

我们在访问12306.cn订票网站时也报了类似的错误。

    1. [[email protected] ~]# curl https://kyfw.12306.cn/
    2. curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
    3. More details here: http://curl.haxx.se/docs/sslcerts.html
2.SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    1. [[email protected] aa]# curl https://github.com/
    2. curl: (60) SSL certificate problem, verify that the CA cert is OK. Details:
    3. error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    4. More details here: http://curl.haxx.se/docs/sslcerts.html

此问题多是由于本地CA证书库过旧,导致新签发证书无法识别。

经排查,github.com证书是由GTE CyberTrust Root签发,?#20013;?#35777;书时间是:

不早于(1998/8/13 0:29:00 GMT)

不晚于(2018/8/13 23:59:00 GMT)

而在我们的Redhat5.3系统中ca-bundle.crt文件发现,GTE CyberTrust Root的时间已经过期。

    1. Issuer: C=US, O=GTE Corporation, CN=GTE CyberTrust Root
    2. Validity
    3. Not Before: Feb 23 23:01:00 1996 GMT
    4. Not After : Feb 23 23:59:00 2006 GMT

解决办法是更新本地CA证书库。

方法一:

下载http://curl.haxx.se/ca/cacert.pem 替换/etc/pki/tls/certs/ca-bundle.crt

方法二:

使用update-ca-trust 更新CA证书库。

(CentOS6,属于ca-certificates包)

3.unknown message digest algorithm
    1. [[email protected]_YF_2.7 ~]#curl https://www.alipay.com
    2. curl: (35) error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message digest algorithm

此问题多由证书本地openssl不能识别SSL证书签名算法所致。

www.alipay.com 使用了SHA-256 RSA ?#29992;?#31639;法。

而openssl在OpenSSL 0.9.8o才加入此算法。

解决办法?#24039;?#32423;本地openssl。

在我的操作系统RedHat5.3中,yum 升级openssl到openssl-0.9.8e-22.el5 就可以识别SHA-256算法。

原因是Redhat每次都是给0.9.8e打补丁,而不是直接更换版本。在srpm包中我?#19994;?#20102;这个补丁。

    1. Summary: The OpenSSL toolkit
    2. Name: openssl
    3. Version: 0.9.8e
    4. ...
    5. Patch89: openssl-fips-0.9.8e-ssl-sha256.patch
4.JAVA和PHP的问题

java和php都可以编程来访问https网站。例如httpclient等。

其调用的CA根证书库并不和操作系统一致。

JAVA的CA根证书库是在 JRE的$JAVA_HOME/jre/lib/security/cacerts

该文件会随着JRE版本的升级而升级。

可以使用keytool工具进行管理。

PHP这边我没有进行测试,从php安装curl组件的过程来看,极有可能就是直接采用的操作系统curl一直的数据。

当然PHP也提供了 curl.cainfo ?#38382;?php.ini)来指定CA根证书库的位置。

参考文章

http://blog.csdn.net/slvher/article/details/41485311

来自为知笔记(Wiz)

文章出自:CCIE那点事 http://www.rygqfb.tw/ 版权所?#23567;?#26412;站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。
本文链接:http://www.rygqfb.tw/?p=3889转载请注明转自CCIE那点事
如果?#19981;叮?a title="CCIE那点事 | IT运维故障发现和解决基地 我致力于为企业IT管理提供助力!" href="http://www.rygqfb.tw/?feed=rss2" target="_blank">点此订阅本站
上篇文章:
下篇文章:
  • 相关文章
  • 为您推荐
  • 各种观点
?
暂时还木有人评论,坐等沙发!
发表评论

您必须 [ 登录 ] 才能发表留言!

?
?
30选5玩法
6加1规则黑龙江 和信投顾 艾德配资 河南快3开奖 广东十一选五*软件 股票分析师工资 闲来陕西麻将app PK10 一分钟极速飞艇官方开奖 长红配资