curl:(60) SSL证书问题:无法获得本地颁发者证书

root@sclrdev:/home/sclr/certs/FreshCerts# curl --ftp-ssl --verbose ftp://{abc}/ -u trup:trup --cacert /etc/ssl/certs/ca-certificates.crt
* About to connect() to {abc} port 21 (#0)
*   Trying {abc}...
* Connected to {abc} ({abc}) port 21 (#0)
< 220-Cerberus FTP Server - Home Edition
< 220-This is the UNLICENSED Home Edition and may be used for home, personal use only
< 220-Welcome to Cerberus FTP Server
< 220 Created by Cerberus, LLC
> AUTH SSL
< 234 Authentication method accepted
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS alert, Server hello (2):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

当前回答

到目前为止，我看到这个问题在公司网络中发生，有两个原因，其中一个或两个都可能发生在你的情况中:

由于网络代理的工作方式，它们有自己的SSL证书，从而改变了curl看到的证书。许多或大多数企业网络强制您使用这些代理。在客户端电脑上运行的一些防病毒程序也类似于HTTPS代理，这样它们就可以扫描你的网络流量。您的防病毒程序可能有禁用此功能的选项(假设您的管理员允许)。

作为旁注，上面的第2条可能会让您对被扫描的本应安全的TLS通信感到不安。这就是你的公司世界。

2017-12-20 04:11:28

其他回答

没有一个答案提到，可能是连接到内部vpn的角色，我以前遇到过这个问题，并要求在专用网络上

2022-03-07 15:03:23

在亚马逊Linux (CentOS / Red Hat等)上，我做了以下工作来解决这个问题。首先复制cacert。Pem从http://curl.haxx.se/ca/cacert.pem下载，放在/etc/pki/ca-trust/source/anchors/目录下。执行update-ca-trust命令。

下面是来自https://serverfault.com/questions/394815/how-to-update-curl-ca-bundle-on-redhat的一句话

Curl https://curl.se/ca/cacert.pem -o /etc/pki/ca-trust/source/anchors/curl-cacert-updated。Pem && update-ca-trust

然而，由于curl被破坏，我实际上使用这个命令来下载cacert。pem文件。

Wget——no-check-certificate http://curl.haxx.se/ca/cacert.pem

另外，如果你在使用php时遇到了问题，你可能需要重新启动你的web服务器服务httpd restart for apache或service nginx restart for nginx。

2021-10-13 20:31:19

我通过在cURL脚本中添加一行代码解决了这个问题:

curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

警告:这使得请求绝对不安全(参见@YSU的回答)!

2015-04-04 06:04:55

我本想评论Yuvik的回答，但我缺乏足够的声誉点。

当您将.crt文件导入到/usr/share/local/ca-certificates时，需要使用正确的格式。其中一些已经在前面提到过，但是还没有人提到只需要一个新的行字符，也没有人收集过清单，所以我想在这里提供一个清单。

The certificate needs to end in .crt. From Ubuntu's man page: Certificates must have a .crt extension in order to be included by update-ca-certificates Certificate files in /usr/local/share/ca-certificates can only contain one certificate Certificate files must end in a newline. update-ca-certificates will appear to work if each row contains, for example, a carriage return + a newline (as is standard in Windows), but once the certificate is appended to /etc/ssl/ca-certificates.crt, it still will not work. This specific requirement bit me as we're loading certificates from an external source.

2021-04-29 09:42:33

这很可能是服务器上丢失的证书。

根- >中间- >服务器

服务器至少应该发送服务器和中间体。

使用openssl s_client -showcerts -starttls ftp -crlf -connect abc:21进行调试。

如果只返回一个证书(自签名或颁发)，那么您必须选择:

修复服务器信任该证书并将其添加到您的CA证书存储(不是最好的主意) 禁用信任，例如curl -k(非常糟糕的主意)

如果服务器返回多个，但不包括自签名(根)证书:

在此链的CA存储中安装CA(根)证书，例如谷歌颁发者。(只有当你信任该CA时) 服务器是否将CA作为链的一部分发送信任链中的证书禁用的信任

如果服务器返回一个根CA证书，那么它不在您的CA存储中，您的选项是:

添加(信任)它禁用的信任

我忽略了过期/撤销的证书，因为没有消息表明它。但是您可以使用openssl x509 -text检查certs

假设您正在连接到家庭版(https://www.cerberusftp.com/support/help/installing-a-certificate/) ftp服务器，我将说它是自签名的。

请发布更多细节，比如来自openssl的输出。

2016-11-27 01:24:45

curl:(60) SSL证书问题:无法获得本地颁发者证书

推荐文章

最新文章

标签