Linux中使用curl命令訪(fǎng)問(wèn)https站點(diǎn)4種常見(jiàn)錯(cuò)誤和解決方法

每一種客戶(hù)端在處理https的連接時(shí)都會(huì)使用不同的證書(shū)庫(kù)。IE瀏覽器和FireFox瀏覽器都可以在本瀏覽器的控制面板中找到證書(shū)管理器。在證書(shū)管理器中可以自由添加、刪除根證書(shū)。

而Linux的curl使用的證書(shū)庫(kù)在文件“/etc/pki/tls/certs/ca-bundle.crt”中。（CentOS）

以下是curl在訪(fǎng)問(wèn)https站點(diǎn)時(shí)常見(jiàn)的報(bào)錯(cuò)信息

1.Peer’s Certificate issuer is not recognized

此種情況多發(fā)生在自簽名的證書(shū)，報(bào)錯(cuò)含義是簽發(fā)證書(shū)機(jī)構(gòu)未經(jīng)認(rèn)證，無(wú)法識(shí)別。

解決辦法是將簽發(fā)該證書(shū)的私有CA公鑰cacert.pem文件內(nèi)容，追加到/etc/pki/tls/certs/ca-bundle.crt。

我們?cè)谠L(fǎng)問(wèn)12306.cn訂票網(wǎng)站時(shí)也報(bào)了類(lèi)似的錯(cuò)誤。

2.SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

經(jīng)排查，github.com證書(shū)是由GTE CyberTrust Root簽發(fā),現(xiàn)行證書(shū)時(shí)間是：

1.不早于(1998/8/13 0:29:00 GMT)
2.不晚于(2018/8/13 23:59:00 GMT)

而在我們的Redhat5.3系統(tǒng)中ca-bundle.crt文件發(fā)現(xiàn)，GTE CyberTrust Root的時(shí)間已經(jīng)過(guò)期。

方法一：

下載http://curl.haxx.se/ca/cacert.pem 替換/etc/pki/tls/certs/ca-bundle.crt

方法二：

使用update-ca-trust 更新CA證書(shū)庫(kù)。（CentOS6，屬于ca-certificates包）

3.unknown message digest algorithm

解決辦法是升級(jí)本地openssl。

在我的操作系統(tǒng)RedHat5.3中,yum 升級(jí)openssl到openssl-0.9.8e-22.el5 就可以識(shí)別SHA-256算法。原因是Redhat每次都是給0.9.8e打補(bǔ)丁，而不是直接更換版本。在srpm包中我找到了這個(gè)補(bǔ)丁。

4.JAVA和PHP的問(wèn)題

java和php都可以編程來(lái)訪(fǎng)問(wèn)https網(wǎng)站。例如httpclient等。

其調(diào)用的CA根證書(shū)庫(kù)并不和操作系統(tǒng)一致。

JAVA的CA根證書(shū)庫(kù)是在 JRE的$JAVA_HOME/jre/lib/security/cacerts，該文件會(huì)隨著JRE版本的升級(jí)而升級(jí)?？梢允褂胟eytool工具進(jìn)行管理。

PHP這邊我沒(méi)有進(jìn)行測(cè)試，從php安裝curl組件的過(guò)程來(lái)看，極有可能就是直接采用的操作系統(tǒng)curl一直的數(shù)據(jù)。

當(dāng)然PHP也提供了 curl.cainfo 參數(shù)(php.ini)來(lái)指定CA根證書(shū)庫(kù)的位置。