欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  科技

Linux中使用curl命令访问https站点4种常见错误和解决方法

程序员文章站 2023-09-10 09:43:34
这篇文章主要介绍了Linux中使用curl命令访问https站点常见的4种错误和解决方法,本文列举的都是一些常见报错信息,,需要的朋友可以参考下... 15-02-09...

每一种客户端在处理https的连接时都会使用不同的证书库。ie浏览器和firefox浏览器都可以在本浏览器的控制面板中找到证书管理器。在证书管理器中可以*添加、删除根证书。

而linux的curl使用的证书库在文件“/etc/pki/tls/certs/ca-bundle.crt”中。(centos)

以下是curl在访问https站点时常见的报错信息

1.peer’s certificate issuer is not recognized


复制代码
代码如下:

[root@ip-172-31-32-208 nginx]# curl https://m.ipcpu.com
curl: (60) peer's certificate issuer is not recognized.
more details here: http://curl.haxx.se/docs/sslcerts.html

此种情况多发生在自签名的证书,报错含义是签发证书机构未经认证,无法识别。

解决办法是将签发该证书的私有ca公钥cacert.pem文件内容,追加到/etc/pki/tls/certs/ca-bundle.crt。

我们在访问12306.cn订票网站时也报了类似的错误。

复制代码
代码如下:

[root@ip-172-31-32-208 ~]# curl https://kyfw.12306.cn/
curl: (60) peer's certificate issuer has been marked as not trusted by the user.
more details here: http://curl.haxx.se/docs/sslcerts.html

2.ssl routines:ssl3_get_server_certificate:certificate verify failed


复制代码
代码如下:

[root@go-email-1 aa]# curl https://github.com/
curl: (60) ssl certificate problem, verify that the ca cert is ok. details:
error:14090086:ssl routines:ssl3_get_server_certificate:certificate verify failed
more details here: http://curl.haxx.se/docs/sslcerts.html

此问题多是由于本地ca证书库过旧,导致新签发证书无法识别。

经排查,github.com证书是由gte cybertrust root签发,现行证书时间是:

1.不早于(1998/8/13 0:29:00 gmt)
2.不晚于(2018/8/13 23:59:00 gmt)

而在我们的redhat5.3系统中ca-bundle.crt文件发现,gte cybertrust root的时间已经过期。

复制代码
代码如下:

issuer: c=us, o=gte corporation, cn=gte cybertrust root
validity
not before: feb 23 23:01:00 1996 gmt
not after : feb 23 23:59:00 2006 gmt

解决办法是更新本地ca证书库。

方法一:

下载http://curl.haxx.se/ca/cacert.pem 替换/etc/pki/tls/certs/ca-bundle.crt

方法二:

使用update-ca-trust 更新ca证书库。(centos6,属于ca-certificates包)

3.unknown message digest algorithm


复制代码
代码如下:

[root@web_yf_2.7 ~]#curl https://www.alipay.com
curl: (35) error:0d0c50a1:asn1 encoding routines:asn1_item_verify:unknown message digest algorithm

此问题多由证书本地openssl不能识别ssl证书签名算法所致。www.alipay.com 使用了sha-256 rsa 加密算法。而openssl在openssl 0.9.8o才加入此算法。

解决办法是升级本地openssl。

在我的操作系统redhat5.3中,yum 升级openssl到openssl-0.9.8e-22.el5 就可以识别sha-256算法。原因是redhat每次都是给0.9.8e打补丁,而不是直接更换版本。在srpm包中我找到了这个补丁。

复制代码
代码如下:

summary: the openssl toolkit
name: openssl
version: 0.9.8e
...
patch89: openssl-fips-0.9.8e-ssl-sha256.patch

4.java和php的问题

java和php都可以编程来访问https网站。例如httpclient等。

其调用的ca根证书库并不和操作系统一致。

java的ca根证书库是在 jre的$java_home/jre/lib/security/cacerts,该文件会随着jre版本的升级而升级。可以使用keytool工具进行管理。

php这边我没有进行测试,从php安装curl组件的过程来看,极有可能就是直接采用的操作系统curl一直的数据。

当然php也提供了 curl.cainfo 参数(php.ini)来指定ca根证书库的位置。

上一篇: C#8.0 中开启默认接口实现方法

下一篇: C# Xamarin利用ZXing.Net.Mobile进行扫码的方法

推荐阅读