每一种客户端在处理https的连接时都会使用不同的证书库。ie浏览器和firefox浏览器都可以在本浏览器的控制面板中找到证书管理器。在证书管理器中可以自由添加、删除根证书。
而linux的curl使用的证书库在文件“/etc/pki/tls/certs/ca-bundle.crt”中。(centos)
以下是curl在访问https站点时常见的报错信息
1.peer’s certificate issuer is not recognized
此种情况多发生在自签名的证书,报错含义是签发证书机构未经认证,无法识别。
解决办法是将签发该证书的私有ca公钥cacert.pem文件内容,追加到/etc/pki/tls/certs/ca-bundle.crt。
我们在访问12306.cn订票网站时也报了类似的错误。
2.ssl routines:ssl3_get_server_certificate:certificate verify failed
经排查,github.com证书是由gte cybertrust root签发,现行证书时间是:
1.不早于(1998/8/13 0:29:00 gmt)
2.不晚于(2018/8/13 23:59:00 gmt)
而在我们的redhat5.3系统中ca-bundle.crt文件发现,gte cybertrust root的时间已经过期。
方法一:
下载http://curl.haxx.se/ca/cacert.pem 替换/etc/pki/tls/certs/ca-bundle.crt
方法二:
使用update-ca-trust 更新ca证书库。(centos6,属于ca-certificates包)
3.unknown message digest algorithm
解决办法是升级本地openssl。
在我的操作系统redhat5.3中,yum 升级openssl到openssl-0.9.8e-22.el5 就可以识别sha-256算法。原因是redhat每次都是给0.9.8e打补丁,而不是直接更换版本。在srpm包中我找到了这个补丁。
4.java和php的问题
java和php都可以编程来访问https网站。例如httpclient等。
其调用的ca根证书库并不和操作系统一致。
java的ca根证书库是在 jre的$java_home/jre/lib/security/cacerts,该文件会随着jre版本的升级而升级。可以使用keytool工具进行管理。
php这边我没有进行测试,从php安装curl组件的过程来看,极有可能就是直接采用的操作系统curl一直的数据。
当然php也提供了 curl.cainfo 参数(php.ini)来指定ca根证书库的位置。
如对本文有疑问,请在下面进行留言讨论,广大热心网友会与你互动!! 点击进行留言回复
linux下文本编辑器vim的使用方法(复制、粘贴、替换、行号、撤销、多文件操作)
网友评论