我遇到了一个奇怪的问题。将我的 LAMP 开发机器(Debian)更新到 PHP 7。之后我无法再通过 Curl 连接到特定的 TLS 加密 API。
有问题的 SSL 证书由 thawte 签名。
curl https://example.com
给我
curl: (60) SSL certificate problem: unable to get local issuer certificate
然而
curl https://thawte.com
当然,这也是由 Thawte 作品签名的。
我可以在其他机器上通过 HTTPS 访问 API 站点,例如通过 curl 和浏览器访问我的桌面。因此证书肯定有效。SSL Labs 评级为 A。
从我的开发机器到其他 SSL 加密站点的任何其他 Curl 请求都可以正常工作。我的根证书是最新的。为了验证,我运行了update-ca-certificates。我甚至下载了http://curl.haxx.se/ca/cacert.pem到 /etc/ssl/certs 并运行c_rehash。
还是同样的错误。
有什么方法可以调试验证过程并查看 curl(或 openssl)正在寻找但找不到哪个本地颁发者证书,即文件名?
更新
curl -vs https://example.com
告诉我(IP+域名匿名)
* Hostname was NOT found in DNS cache
* Trying 192.0.2.1...
* Connected to example.com (192.0.2.1) port 443 (#0)
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS alert, Server hello (2):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
和
echo | openssl s_client -connect example.com:443
给出
CONNECTED(00000003)
depth=2 C = US, O = "thawte, Inc.", OU = Certification Services Division, OU = "(c) 2006 thawte, Inc. - For authorized use only", CN = thawte Primary Root CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:/C=DE/ST=XYZ/CN=*.example.com
i:/C=US/O=thawte, Inc./CN=thawte SSL CA - G2
1 s:/C=US/O=thawte, Inc./CN=thawte SSL CA - G2
i:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
2 s:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
i:/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/[email protected]
---
Server certificate
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----
subject=/C=DE/ST=XYZ/CN=*.example.com
issuer=/C=US/O=thawte, Inc./CN=thawte SSL CA - G2
---
No client certificate CA names sent
---
SSL handshake has read 4214 bytes and written 421 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: [...]
Session-ID-ctx:
Master-Key: [...]
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
0000 - 5a 95 df 40 2c c9 6b d5-4a 50 75 c5 a3 80 0a 2d Z..@,.k.JPu....-
[...]
00b0 - d5 b9 e8 25 00 c5 c7 da-ce 73 fb f2 c5 46 c4 24 ...%.....s...F.$
Start Time: 1455111516
Timeout : 300 (sec)
Verify return code: 20 (unable to get local issuer certificate)
---
DONE
答案1
使用openssl s_client -connect thawte.com:443表演:
---
Certificate chain
0 s:/1.3.6.1.4.1.311.60.2.1.3=US/1.3.6.1.4.1.311.60.2.1.2=Delaware/O=Thawte, Inc./C=US/ST=California/L=Mountain View/businessCategory=Private Organization/serialNumber=3898261/OU=Infrastructure Operations/CN=www.thawte.com
i:/C=US/O=thawte, Inc./CN=thawte Extended Validation SHA256 SSL CA
1 s:/C=US/O=thawte, Inc./CN=thawte Extended Validation SHA256 SSL CA
i:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2008 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA - G3
---
最后一个“i”表示颁发自签名根 CA。我猜那个特定的Thawte 根 CA,即主根 CA - G3cert,不在你的/etc/ssl/certs目录中(如curl输出中所述;openssl s_client没有默认的 CA 路径,需要明确指定一个,例如 -CApath /etc/ssl/certs)。
将该证书明确添加到您的/etc/ssl/certs目录中(并重新运行c_rehash)肯定不会有什么坏处。如果它有效,例如通过使用进行了验证openssl s_client -connect example.com:443 -CApath /etc/ssl/certs,您就知道该update-ca-certificates命令可能需要进行一些检查/调试,以了解为什么它没有选择这个根 CA。
现在,上述根 CA 可能已在你的/etc/ssl/certs目录中,并且上述步骤无效。在这种情况下,另外两个颁发 CA 证书检查(至少在提供的证书链中thawte.com:443):thawte 主根 CA, 和thawte SSL CA - G2。重复上述步骤将这些证书安装到您的/etc/ssl/certs目录中(并重新运行c_rehash)可能会有效。由于这两个是中间 CA,而不是根 CA,因此缺少其中一个可以解释您的结果,并且可能是被忽略的证书update-ca-certificates。
希望这可以帮助!
答案2
这可能是由于站点的公钥证书文件中的站点、颁发证书、中间证书和根证书的顺序错误造成的。
浏览器以从上到下的反向方向显示证书(根、中间、颁发、站点),但证书必须处于从下到上的方向(站点、发行、中间、根)。