问题

我农场中的一台服务器突然无法正确处理 SSL 证书。尝试执行如下 curl 命令，curl -v https://google.com结果如下：

curl -v https://google.com
* About to connect() to google.com port 443 (#0)
*   Trying 74.125.137.101... connected
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS alert, Server hello (2):
* SSL certificate problem, verify that the CA cert is OK. Details:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

使用openssl s_client更详细一些。

# openssl s_client -host google.com -port 443
CONNECTED(00000003)
depth=2 /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
verify error:num=20:unable to get local issuer certificate

迄今为止尝试过的事情

• 重新安装ca-certificates-根据aptitude，已经有最新可用版本Version: 20130906ubuntu0.12.04.1。

• ca-certificates通过重新配置dpkg-reconfigure。这似乎会重新整理/etc/ssl/certs文件夹，但对问题没有影响。

• 用于update-ca-certificates --fresh重新生成该文件夹中的符号链接

• curl.haxx.se通过放入 .pem 文件/etc/ssl/certs并运行更新命令，从 - 获取最新的 Mozilla ca 包。

怪异之处

curl声称找不到的证书实际上在认证路径中。

# ls -l /etc/ssl/certs/*Geo*

lrwxrwxrwx 1 root root 57 Apr  7 15:57 /etc/ssl/certs/GeoTrust_Global_CA.pem -> /usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt
...

引用的证书文件具有与我的网络上每个其他框相同的权限，即 644。

# ls -l /usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt
-rw-r--r-- 1 root root 1216 Feb 20 11:49 /usr/share/ca-certificates/mozilla/GeoTrust_Global_CA.crt

Github 等其他安全站点使用不同的证书也存在同样的问题。我正在运行适用于 Ubuntu 12.04.4 的所有软件包的最新版本，包括curl、openssl和ca-certificates。

这里发生了什么？