我注意到我们使用 cURL 的链接检查器在验证 SSL 证书时越来越失败。我正试图弄清楚这一点。
例如, https: //www.bgetem.de/ 在我的 Windows 7 机器上的每个浏览器(IE 11、Firefox、Opera、Chrome)上都可以正常打开,但我的 CentOS 6 和 Ubuntu 16.04 上的 cURL(和 wget)不能验证证书。
这是 CentOS 的 cURL 的详细输出(版本curl 7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.27.1 zlib/1.2.3 libidn/1.18 libssh2/1.4.2)
* About to connect() to www.bgetem.de port 443 (#0)
* Trying 193.104.3.166... connected
* Connected to www.bgetem.de (193.104.3.166) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* Peer's certificate issuer is not recognized: 'CN=COMODO RSA Domain Validation Secure Server CA,O=COMODO CA Limited,L=Salford,ST=Greater Manchester,C=GB'
* NSS error -8179
* Closing connection #0
* Peer certificate cannot be authenticated with known CA certificates
和 Ubuntu(版本curl 7.47.0 (x86_64-pc-linux-gnu) libcurl/7.47.0 GnuTLS/3.4.10 zlib/1.2.8 libidn/1.32 librtmp/2.3):
* found 173 certificates in /etc/ssl/certs/ca-certificates.crt
* found 695 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* SSL connection using TLS1.2 / ECDHE_RSA_AES_256_GCM_SHA384
* server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none
* Closing connection 0
curl: (60) server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none
知道问题是什么以及如何解决吗?
正如错误消息已经解释的那样:服务器证书无法使用 CAfile 中的已知 CA 证书进行身份验证:(
/etc/pki/tls/certs/ca-bundle.crt因为服务器证书是由您的系统未知的 CA 颁发的)。出现此类消息的两个相当常见的原因:
感谢您提供域名:这使我们能够测试 SSL 服务器并确认:CA 链不完整:
作为该服务器的管理员,您可以/应该修复链文件以防止认证路径中的那些“额外下载”部分。
如果您不是该服务器的管理员并且想要修复该客户端:自己下载该中间证书并将其添加到本地信任库。