Linux使用curl访问https站点时报错汇总
2016-06-29 20:35
615 查看
而Linux的curl使用的证书库在文件“/etc/pki/tls/certs/ca-bundle.crt”中。(CentOS)
以下是curl在访问https站点时常见的报错信息
1.Peer’s Certificate issuer is not recognized
[root@ip-172-31-32-208 Nginx]# curl https://m.ipcpu.com curl: (60) Peer's Certificate issuer is not recognized. more details here: http://curl.haxx.se/docs/sslcerts.html[/code] 此种情况多发生在自签名的证书,报错含义是签发证书机构未经认证,无法识别。
解决办法是将签发该证书的私有CA公钥cacert.pem文件内容,追加到/etc/pki/tls/certs/ca-bundle.crt。
我们在访问12306.cn订票网站时也报了类似的错误。[root@ip-172-31-32-208 ~]# curl https://kyfw.12306.cn/ curl: (60) Peer's certificate issuer has been marked as not trusted by the user. More details here: http://curl.haxx.se/docs/sslcerts.html[/code]2.SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
[root@GO-EMAIL-1 aa]# curl https://github.com/ curl: (60) SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed More details here: http://curl.haxx.se/docs/sslcerts.html[/code] 此问题多是由于本地CA证书库过旧,导致新签发证书无法识别。
经排查,github.com证书是由GTE CyberTrust Root签发,现行证书时间是:
不早于(1998/8/13 0:29:00 GMT)
不晚于(2018/8/13 23:59:00 GMT)
而在我们的Redhat5.3系统中ca-bundle.crt文件发现,GTE CyberTrust Root的时间已经过期。Issuer: C=US, O=GTE Corporation, CN=GTE CyberTrust Root Validity Not Before: Feb 23 23:01:00 1996 GMT Not After : Feb 23 23:59:00 2006 GMT
解决办法是更新本地CA证书库。
方法一:
下载http://curl.haxx.se/ca/cacert.pem 替换/etc/pki/tls/certs/ca-bundle.crt
方法二:
使用update-ca-trust 更新CA证书库。(CentOS6,属于ca-certificates包)3.unknown message digest algorithm
[root@WEB_YF_2.7 ~]#curl https://www.alipay.com curl: (35) error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message digest algorithm
此问题多由证书本地openssl不能识别SSL证书签名算法所致。www.alipay.com 使用了SHA-256 RSA 加密算法。而openssl在OpenSSL 0.9.8o才加入此算法。
解决办法是升级本地openssl。
在我的操作系统RedHat5.3中,yum 升级openssl到openssl-0.9.8e-22.el5 就可以识别SHA-256算法。原因是Redhat每次都是给0.9.8e打补丁,而不是直接更换版本。在srpm包中我找到了这个补丁。Summary: The OpenSSL toolkit Name: openssl Version: 0.9.8e ... Patch89: openssl-fips-0.9.8e-ssl-sha256.patch4、error:14077410:SSL routines
[root@slave1 ~]# curl https://************/index.html
这种错通常是协议问题,默认curl使用的是ssl2及ssl3
curl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
解决上述错误只须指定协议即可,如下:
curl -1 https://************/index.html
5.JAVA和PHP的问题
java和php都可以编程来访问https网站。例如httpclient等。
其调用的CA根证书库并不和操作系统一致。
JAVA的CA根证书库是在 JRE的$JAVA_HOME/jre/lib/security/cacerts,该文件会随着JRE版本的升级而升级。可以使用keytool工具进行管理。
PHP这边我没有进行测试,从php安装curl组件的过程来看,极有可能就是直接采用的操作系统curl一直的数据。
当然PHP也提供了 curl.cainfo 参数(php.ini)来指定CA根证书库的位置。
相关文章推荐
- perl中5个常见错误
- Android笔记整理之常见错误及解决方案汇总
- css常见问题解决方法小结
- php下目前为目最全的CURL中文说明
- PHP curl_setopt()函数实例代码与参数分析
- hadoop常见错误以及处理方法详解
- php采用curl访问域名返回405 method not allowed提示的解决方法
- php中file_get_content 和curl以及fopen 效率分析
- php中curl和file_get_content的区别
- php实现curl模拟ftp上传的方法
- PHP简单开启curl的方法(测试可行)[原创]_php技巧_脚本之家
- PHP使用CURL实现多线程抓取网页
- ASP常见错误详解及解决方案小结 推荐第1/2页
- 新手asp编程的基本法则与常见错误注意事项
- 利用curl 多线程 模拟 并发的详解
- 在PHP中使用curl_init函数的说明
- 使用php方法curl抓取AJAX异步内容思路分析及代码分享
- java struts常见错误以及原因分析
- 利用curl抓取远程页面内容的示例代码
- 开启CURL扩展,让服务器支持PHP curl函数(远程采集)