curl:(60) SSL证书问题:无法获得本地颁发者证书

root@sclrdev:/home/sclr/certs/FreshCerts# curl --ftp-ssl --verbose ftp://{abc}/ -u trup:trup --cacert /etc/ssl/certs/ca-certificates.crt
* About to connect() to {abc} port 21 (#0)
*   Trying {abc}...
* Connected to {abc} ({abc}) port 21 (#0)
< 220-Cerberus FTP Server - Home Edition
< 220-This is the UNLICENSED Home Edition and may be used for home, personal use only
< 220-Welcome to Cerberus FTP Server
< 220 Created by Cerberus, LLC
> AUTH SSL
< 234 Authentication method accepted
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS alert, Server hello (2):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

当前回答

在我的情况下，当我使用NodeJS设置SSl web服务器时，问题是因为我没有附加Bundle文件证书，最后我通过添加以下文件解决了这个问题:

注:代码来自aboutssl.org

var https = require('https');
var fs = require('fs');
var https_options = {
key: fs.readFileSync("/path/to/private.key"),
cert: fs.readFileSync("/path/to/your_domain_name.crt"),
ca: [
fs.readFileSync('path/to/CA_root.crt'),
fs.readFileSync('path/to/ca_bundle_certificate.crt') // this is the bundle file
]
};
https.createServer(options, function (req, res) {
res.writeHead(200);
res.end("Welcome to Node.js HTTPS Servern");
}).listen(8443)

在上面的文本中，用下面的粗体替换。

/ /私有道路。key -这是您的私钥文件的路径。

路径/ / your_domain_name。crt -输入SSL证书文件的路径。

路径/ / CA_root。crt - CA根证书文件的全路径。

path/to/ca_bundle_certificate——这是你上传的CA包文件的完整路径。

参考:https://aboutssl.org/how-to-install-ssl-certificate-on-node-js/

2022-12-22 08:44:43

其他回答

我的情况不同。我在防火墙后面托管一个网站。错误是由pfSense引起的。

Network layout: |Web Server 10.x.x.x| <-> |pfSense 49.x.x.x| <-> |Open Internet|

多亏了这个答案，我意外地找到了原因。

当我从广域网访问我的网站时，一切都很好。

然而，当从局域网内访问站点时(例如，当Wordpress向其自己的服务器发出curl请求时，尽管使用WAN IP 49.x.x.x)，它被提供pfSense登录页面。

我将证书标识为pfSense webConfigurator自签名证书。难怪curl抛出一个错误。

原因:发生的事情是curl正在使用站点的WAN IP地址49.x.x.x。但是，在web服务器的上下文中，广域网IP是防火墙。

调试:我发现我正在获得pfSense证书。

解决方案:在托管该站点的服务器上，将其自己的域名指向127.0.0.1

通过应用该解决方案，web服务器正确地处理了curl的请求，并且没有转发到防火墙，防火墙通过发送登录页面进行响应。

2018-03-31 15:46:23

这很可能是服务器上丢失的证书。

根- >中间- >服务器

服务器至少应该发送服务器和中间体。

使用openssl s_client -showcerts -starttls ftp -crlf -connect abc:21进行调试。

如果只返回一个证书(自签名或颁发)，那么您必须选择:

修复服务器信任该证书并将其添加到您的CA证书存储(不是最好的主意) 禁用信任，例如curl -k(非常糟糕的主意)

如果服务器返回多个，但不包括自签名(根)证书:

在此链的CA存储中安装CA(根)证书，例如谷歌颁发者。(只有当你信任该CA时) 服务器是否将CA作为链的一部分发送信任链中的证书禁用的信任

如果服务器返回一个根CA证书，那么它不在您的CA存储中，您的选项是:

添加(信任)它禁用的信任

我忽略了过期/撤销的证书，因为没有消息表明它。但是您可以使用openssl x509 -text检查certs

假设您正在连接到家庭版(https://www.cerberusftp.com/support/help/installing-a-certificate/) ftp服务器，我将说它是自签名的。

请发布更多细节，比如来自openssl的输出。

2016-11-27 01:24:45

您必须将服务器证书从cert.pem更改为fullchain.pem 我有同样的问题与Perl HTTPS守护进程: 我已经改变了: SSL_cert_file => '/etc/letsencrypt/live/mydomain/cert.pem' : SSL_cert_file => '/etc/letsencrypt/live/mydomain/fullchain.pem'

2020-06-11 09:21:16

尝试在Ubuntu中重新安装curl，并使用sudo update-ca-certificates—fresh更新我的CA证书

2020-01-04 15:26:51

安装Git Extensions v3.48后出现这个问题。尝试再次安装mysysgit，但同样的问题。最后，不得不禁用(请考虑安全隐患!)Git SSL验证:

git config --global http.sslVerify false

但如果你有一个域证书，最好将其添加到(Win7)

C:\Program Files (x86)\Git\bin\curl-ca-bundle.crt

2014-11-24 12:12:27

curl:(60) SSL证书问题:无法获得本地颁发者证书

推荐文章

最新文章

标签