无法获取 cURL 或 wget 来验证某些 SSL 证书

无法获取 cURL 或 wget 来验证某些 SSL 证书

我注意到,使用 cURL 的链接检查器越来越频繁地无法验证 SSL 证书。我正在努力查明原因。

https://www.bgetem.de/例如,在我的 Windows 7 机器上,每个浏览器(IE 11、Firefox、Opera、Chrome)都可以正常打开,但我的 CentOS 6 和 Ubuntu 16.04 上的 cURL(和 wget)无法验证证书。

以下是 CentOS(版本curl 7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.27.1 zlib/1.2.3 libidn/1.18 libssh2/1.4.2)中 cURL 的详细输出

* About to connect() to www.bgetem.de port 443 (#0)
*   Trying 193.104.3.166... connected
* Connected to www.bgetem.de (193.104.3.166) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* Peer's certificate issuer is not recognized: 'CN=COMODO RSA Domain Validation Secure Server CA,O=COMODO CA Limited,L=Salford,ST=Greater Manchester,C=GB'
* NSS error -8179
* Closing connection #0
* Peer certificate cannot be authenticated with known CA certificates

和 Ubuntu(版本curl 7.47.0 (x86_64-pc-linux-gnu) libcurl/7.47.0 GnuTLS/3.4.10 zlib/1.2.8 libidn/1.32 librtmp/2.3):

* found 173 certificates in /etc/ssl/certs/ca-certificates.crt
* found 695 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* SSL connection using TLS1.2 / ECDHE_RSA_AES_256_GCM_SHA384
* server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none
* Closing connection 0
curl: (60) server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none

知道问题是什么以及如何解决它吗?

答案1

正如错误消息已经解释的那样:服务器证书无法使用来自 CAfile 的已知 CA 证书进行身份验证:(/etc/pki/tls/certs/ca-bundle.crt因为服务器证书是由您的系统未知的 CA 颁发的)。

出现此类消息的两个常见原因:

  • 该证书实际上是由未知的 CA(例如内部 CA)签名的。
  • 该证书是使用来自某个知名 CA 的中间 CA 证书签名的,并且远程服务器配置错误,因为它没有将该中间 CA 证书作为 CA 链的响应包含进去。

感谢您添加域名:这使我们能够测试 SSL 服务器并确认:CA链不完整:

在此处输入图片描述

作为该服务器的管理员,您可以/应该修复链文件以防止认证路径中出现那些“额外下载”部分。

如果您不是该服务器的管理员并且想要修复该客户端:下载中间证书你自己和将其添加到本地信任存储

相关内容