Linux使用curl訪問https站點時報錯匯總

來源:本站原創 IT必備工具 超過1,033 views圍觀 0條評論

每一種客戶端在處理https的連接時都會使用不同的證書庫。

IE瀏覽器和FireFox瀏覽器都可以在本瀏覽器的控制面板中找到證書管理器。

在證書管理器中可以自由添加、刪除根證書。

而linux的curl使用的證書庫在文件“/etc/pki/tls/certs/ca-bundle.crt”中。(CentOS)

495  cat /etc/pki/tls/certs/ca-bundle.crt
496  rz
497  cat full_chain.pem >> /etc/pki/tls/certs/ca-bundle.crt    將證書鏈導入
498  curl https://www.baidu.com
499  curl https://www.ccie.wang

 

以下是curl在訪問https站點時常見的報錯信息

1.Peer’s Certificate issuer is not recognized
    1. [[email protected] nginx]# curl https://m.ipcpu.com
    2. curl: (60) Peer's Certificate issuer is not recognized.
    3. More details here: http://curl.haxx.se/docs/sslcerts.html

此種情況多發生在自簽名的證書,報錯含義是簽發證書機構未經認證,無法識別。

解決辦法是將簽發該證書的私有CA公鑰cacert.pem文件內容,追加到/etc/pki/tls/certs/ca-bundle.crt。

我們在訪問12306.cn訂票網站時也報了類似的錯誤。

    1. [[email protected] ~]# curl https://kyfw.12306.cn/
    2. curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
    3. More details here: http://curl.haxx.se/docs/sslcerts.html
2.SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    1. [[email protected] aa]# curl https://github.com/
    2. curl: (60) SSL certificate problem, verify that the CA cert is OK. Details:
    3. error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    4. More details here: http://curl.haxx.se/docs/sslcerts.html

此問題多是由于本地CA證書庫過舊,導致新簽發證書無法識別。

經排查,github.com證書是由GTE CyberTrust Root簽發,現行證書時間是:

不早于(1998/8/13 0:29:00 GMT)

不晚于(2018/8/13 23:59:00 GMT)

而在我們的Redhat5.3系統中ca-bundle.crt文件發現,GTE CyberTrust Root的時間已經過期。

    1. Issuer: C=US, O=GTE Corporation, CN=GTE CyberTrust Root
    2. Validity
    3. Not Before: Feb 23 23:01:00 1996 GMT
    4. Not After : Feb 23 23:59:00 2006 GMT

解決辦法是更新本地CA證書庫。

方法一:

下載http://curl.haxx.se/ca/cacert.pem 替換/etc/pki/tls/certs/ca-bundle.crt

方法二:

使用update-ca-trust 更新CA證書庫。

(CentOS6,屬于ca-certificates包)

3.unknown message digest algorithm
    1. [[email protected]_YF_2.7 ~]#curl https://www.alipay.com
    2. curl: (35) error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message digest algorithm

此問題多由證書本地openssl不能識別SSL證書簽名算法所致。

www.alipay.com 使用了SHA-256 RSA 加密算法。

而openssl在OpenSSL 0.9.8o才加入此算法。

解決辦法是升級本地openssl。

在我的操作系統RedHat5.3中,yum 升級openssl到openssl-0.9.8e-22.el5 就可以識別SHA-256算法。

原因是Redhat每次都是給0.9.8e打補丁,而不是直接更換版本。在srpm包中我找到了這個補丁。

    1. Summary: The OpenSSL toolkit
    2. Name: openssl
    3. Version: 0.9.8e
    4. ...
    5. Patch89: openssl-fips-0.9.8e-ssl-sha256.patch
4.JAVA和PHP的問題

java和php都可以編程來訪問https網站。例如httpclient等。

其調用的CA根證書庫并不和操作系統一致。

JAVA的CA根證書庫是在 JRE的$JAVA_HOME/jre/lib/security/cacerts

該文件會隨著JRE版本的升級而升級。

可以使用keytool工具進行管理。

PHP這邊我沒有進行測試,從php安裝curl組件的過程來看,極有可能就是直接采用的操作系統curl一直的數據。

當然PHP也提供了 curl.cainfo 參數(php.ini)來指定CA根證書庫的位置。

參考文章

http://blog.csdn.net/slvher/article/details/41485311

來自為知筆記(Wiz)

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=3889轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
上篇文章:
下篇文章:
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏