主頁 > 知識(shí)庫 > Linux中使用curl命令訪問https站點(diǎn)4種常見錯(cuò)誤和解決方法

Linux中使用curl命令訪問https站點(diǎn)4種常見錯(cuò)誤和解決方法

熱門標(biāo)簽:新鄭電銷外呼系統(tǒng)線路 河南智能電話機(jī)器人公司 地球地圖標(biāo)注方法 商戶地圖標(biāo)注 電話機(jī)器人哪里有賣的 河北語音電銷機(jī)器人 怎樣給景區(qū)加百度地圖標(biāo)注 樺甸電銷機(jī)器人 壽光百度地圖標(biāo)注中心網(wǎng)站

每一種客戶端在處理https的連接時(shí)都會(huì)使用不同的證書庫。IE瀏覽器和FireFox瀏覽器都可以在本瀏覽器的控制面板中找到證書管理器。在證書管理器中可以自由添加、刪除根證書。

而Linux的curl使用的證書庫在文件“/etc/pki/tls/certs/ca-bundle.crt”中。(CentOS)

以下是curl在訪問https站點(diǎn)時(shí)常見的報(bào)錯(cuò)信息

1.Peer’s Certificate issuer is not recognized


復(fù)制代碼
代碼如下:

[root@ip-172-31-32-208 Nginx]# curl https://m.ipcpu.com
curl: (60) Peer's Certificate issuer is not recognized.
more details here: http://curl.haxx.se/docs/sslcerts.html

此種情況多發(fā)生在自簽名的證書,報(bào)錯(cuò)含義是簽發(fā)證書機(jī)構(gòu)未經(jīng)認(rèn)證,無法識(shí)別。

解決辦法是將簽發(fā)該證書的私有CA公鑰cacert.pem文件內(nèi)容,追加到/etc/pki/tls/certs/ca-bundle.crt。

我們?cè)谠L問12306.cn訂票網(wǎng)站時(shí)也報(bào)了類似的錯(cuò)誤。

復(fù)制代碼
代碼如下:

[root@ip-172-31-32-208 ~]# curl https://kyfw.12306.cn/
curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
More details here: http://curl.haxx.se/docs/sslcerts.html

2.SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed


復(fù)制代碼
代碼如下:

[root@GO-EMAIL-1 aa]# curl https://github.com/
curl: (60) SSL certificate problem, verify that the CA cert is OK. Details:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
More details here: http://curl.haxx.se/docs/sslcerts.html

此問題多是由于本地CA證書庫過舊,導(dǎo)致新簽發(fā)證書無法識(shí)別。

經(jīng)排查,github.com證書是由GTE CyberTrust Root簽發(fā),現(xiàn)行證書時(shí)間是:

1.不早于(1998/8/13 0:29:00 GMT)
2.不晚于(2018/8/13 23:59:00 GMT)

而在我們的Redhat5.3系統(tǒng)中ca-bundle.crt文件發(fā)現(xiàn),GTE CyberTrust Root的時(shí)間已經(jīng)過期。

復(fù)制代碼
代碼如下:

Issuer: C=US, O=GTE Corporation, CN=GTE CyberTrust Root
Validity
Not Before: Feb 23 23:01:00 1996 GMT
Not After : Feb 23 23:59:00 2006 GMT

解決辦法是更新本地CA證書庫。

方法一:

下載http://curl.haxx.se/ca/cacert.pem 替換/etc/pki/tls/certs/ca-bundle.crt

方法二:

使用update-ca-trust 更新CA證書庫。(CentOS6,屬于ca-certificates包)

3.unknown message digest algorithm


復(fù)制代碼
代碼如下:

[root@WEB_YF_2.7 ~]#curl https://www.alipay.com
curl: (35) error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message digest algorithm

此問題多由證書本地openssl不能識(shí)別SSL證書簽名算法所致。www.alipay.com 使用了SHA-256 RSA 加密算法。而openssl在OpenSSL 0.9.8o才加入此算法。

解決辦法是升級(jí)本地openssl。

在我的操作系統(tǒng)RedHat5.3中,yum 升級(jí)openssl到openssl-0.9.8e-22.el5 就可以識(shí)別SHA-256算法。原因是Redhat每次都是給0.9.8e打補(bǔ)丁,而不是直接更換版本。在srpm包中我找到了這個(gè)補(bǔ)丁。

復(fù)制代碼
代碼如下:

Summary: The OpenSSL toolkit
Name: openssl
Version: 0.9.8e
...
Patch89: openssl-fips-0.9.8e-ssl-sha256.patch

4.JAVA和PHP的問題

java和php都可以編程來訪問https網(wǎng)站。例如httpclient等。

其調(diào)用的CA根證書庫并不和操作系統(tǒng)一致。

JAVA的CA根證書庫是在 JRE的$JAVA_HOME/jre/lib/security/cacerts,該文件會(huì)隨著JRE版本的升級(jí)而升級(jí)。可以使用keytool工具進(jìn)行管理。

PHP這邊我沒有進(jìn)行測(cè)試,從php安裝curl組件的過程來看,極有可能就是直接采用的操作系統(tǒng)curl一直的數(shù)據(jù)。

當(dāng)然PHP也提供了 curl.cainfo 參數(shù)(php.ini)來指定CA根證書庫的位置。

標(biāo)簽:喀什 懷化 咸陽 廣州 阿壩 遵義 湖北 六安

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《Linux中使用curl命令訪問https站點(diǎn)4種常見錯(cuò)誤和解決方法》,本文關(guān)鍵詞  Linux,中,使用,curl,命令,訪問,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《Linux中使用curl命令訪問https站點(diǎn)4種常見錯(cuò)誤和解決方法》相關(guān)的同類信息!
  • 本頁收集關(guān)于Linux中使用curl命令訪問https站點(diǎn)4種常見錯(cuò)誤和解決方法的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章