如何在 cURL 命令行中信任自签名证书？

尝试-k：

curl -k https://yourhost/

它应该“接受”自签名证书

遵循这些步骤应该可以解决您的问题：

1. 下载并保存自签名证书：echo quit | openssl s_client -showcerts -servername "${API_HOST}" -connect "${API_HOST}":443 > cacert.pem
2. 告诉curl客户：curl --cacert cacert.pem --location --silent https://${API_HOST}

也可以使用 wget 并忽略以下证书：wget --no-check-certificate https://${API_HOST}

我有这个问题，完全相同的问题和错误消息，但我使用 GNUTLS 的 certtool 来生成我的证书而不是 openssl。

我的问题是我没有将我的自签名证书设为 CA。它仅配置为充当 Web 服务器证书。这就是我想要用它做的所有事情，我不打算将它用作 CA 来签署其他证书。

但是当你想将一个证书作为其他证书的颁发者添加到信任链中时，该证书必须是 CA，否则会被 openssl 拒绝！

有了certtool -i < mycert.crt，人们需要看到这一点：

    Extensions:
            Basic Constraints (critical):
                    Certificate Authority (CA): TRUE

尝试添加-addext basicConstraints=critical,CA:TRUE,pathlen:1到您的 openssl 命令或修改您的 cnf 文件以达到相同的效果。

或者，使用 certtool，一次性生成证书要容易得多：

certtool -p --outfile localhost.key
certtool -s --load-privkey localhost.key --outfile localhost.crt

然后回答提示以提供证书的 CN 等。当被问及它是否适用于证书颁发机构时，说是的！

trustme，由urllib3使用，看起来是个不错的选择。根据他们的自述文件：

$ # ----- Creating certs -----
$ python -m trustme
Generated a certificate for 'localhost', '127.0.0.1', '::1'
Configure your server to use the following files:
  cert=/tmp/server.pem
  key=/tmp/server.key
Configure your client to use the following files:
  cert=/tmp/client.pem
$ # ----- Using certs -----
$ gunicorn --keyfile server.key --certfile server.pem app:app
$ curl --cacert client.pem https://localhost:8000/
Hello, world!

拥有包含自签名证书的信任链是无效的。如果是这样的话，任何人都可以提供（组成）有效的信任链。如果自签名证书出现在信任链中，则必须忽略它。自签名证书只能在本地目录（由计算机所有者控制）中有效。提供给任何服务器的证书必须链接到自签名证书。

没有大部分小细节的一般指南。

• 您的openssl s_client命令输出显示两个错误：

  verify error:num=20:unable to get local issuer certificate
  verify error:num=21:unable to verify the first certificate
  

  这意味着您机器中的默认证书存储缺少一个验证您使用的网站给出的链的证书。您需要一个带有自签名证书的目录和一个链接到该 Web 服务器的证书。

脚步：

1. 您可以构建一个新目录（在任何地方），使用c_rehash脚本处理它并告诉 openssl 使用它来验证带有选项的证书-CApath Directory。-CApath进行更改，直到您在使用该选项时消除这两个错误。

2. 为 Web 服务器生成链式证书。

3. 然后，告诉 curl 证书目录：

   curl --capath <dir>
   

   以及所需的所有其他选项。

这将清除这两个错误。

using 提供的解决方案trustme完美运行，但如果有人有兴趣为学习目的创建证书，这些步骤对我有用：

1. 创建根 CA：

   openssl req -x509 -sha256 -days 1825 -newkey rsa:2048 -keyout rootCA.key -out rootCA.crt
   

2. 创建服务器私钥：

   openssl genrsa -out localhost.key 2048
   

3. 创建证书签名请求：

   openssl req -key localhost.key -new -out localhost.csr
   

4. 创建localhost.ext具有以下内容的文件：

   authorityKeyIdentifier=keyid,issuer
   basicConstraints=CA:FALSE
   subjectAltName = @alt_names
   [alt_names]
   DNS.1 = localhost
   

   此文件具有证书的 DNS 配置。这很重要，因为如果 URL 中的名称与证书中的 DNS 不匹配，TLS 检查将不会通过。

5. 使用之前创建的根 CA 签署服务器证书：

   openssl x509 -req -CA rootCA.crt -CAkey rootCA.key -in localhost.csr -out localhost.crt -days 365 -CAcreateserial -extfile localhost.ext
   

6. 将crt文件转换为以下pem格式：

   openssl x509 -in localhost.crt -out localhost.pem
   openssl x509 -in rootCA.crt -out rootCA.pem
   

现在您应该可以在服务器中使用 thelocalhost.pem和 the了。localhost.key客户端应该使用rootCA.pem连接到服务器。

就我而言，我必须使用jks文件。该pem文件可以转换jks为如下：

//first convert it to pkcs12
openssl pkcs12 -export -in localhost.pem -inkey localhost.key -out serverCertificate.p12 -name "serverCertificate"

//then convert it from pkcs12 to jks
keytool -importkeystore -srckeystore serverCertificate.p12 -srcstoretype pkcs12 -destkeystore localhost.jks

可以使用以下命令查看密钥库中的条目：

keytool -keystore localhost.jks -list

localhost.jks应该在服务器中使用，并且可以使用以下方法测试连接：

curl --cacert rootCA.pem https://localhost:<port>

参考：

1. https://www.baeldung.com/openssl-self-signed-cert
2. https://www.digicert.com/kb/ssl-support/openssl-quick-reference-guide.htm
3. https://www.baeldung.com/convert-pem-to-jks

如果您从服务器保存 self-signed.crt，您可以通过“--cacert self-signed.crt”将其传递给 curl，curl 将使用给定的 CA Cert 验证您的服务器的证书。