curl:(60) SSL证书问题:无法获得本地颁发者证书

root@sclrdev:/home/sclr/certs/FreshCerts# curl --ftp-ssl --verbose ftp://{abc}/ -u trup:trup --cacert /etc/ssl/certs/ca-certificates.crt
* About to connect() to {abc} port 21 (#0)
*   Trying {abc}...
* Connected to {abc} ({abc}) port 21 (#0)
< 220-Cerberus FTP Server - Home Edition
< 220-This is the UNLICENSED Home Edition and may be used for home, personal use only
< 220-Welcome to Cerberus FTP Server
< 220 Created by Cerberus, LLC
> AUTH SSL
< 234 Authentication method accepted
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS alert, Server hello (2):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

当前回答

我在Wordpress安装上试图通过ElasticPress和AWS ACM PCA管理的自签名根CA与内部ElasticSearch服务通信，已经为这个问题困扰了几天。

在我的特殊情况下，我从默认的cURL传输以及预期的正文中收到了200 OK响应，但Wordpress返回了一个WP_Error对象，ElasticPress由于这个证书问题而获得，但从未记录。

说到Wordpress，有两件事值得注意:

The default cURL Transport for all wp_remote_* calls will look to a CA Bundle located in wp-includes/certificates/ca-bundle.crt. This bundle serves largely the same purpose as what's found under https://curl.haxx.se/docs/caextract.html, and will cover most use-cases that don't typically involve more exotic setups. Action/Filter order matters in Wordpress, and in ElasticPress' case, many of its own internal functions leverage these remote calls. The problem is, these remote calls were being executed during the plugins_loaded lifecycle, which is too early for Theme logic to be able to override. If you're using any plugins that make external calls out to other services and you need to be able to modify the requests, you should take careful note as to WHEN these plugins are performing these requests.

这意味着，即使在主题中定义了正确的服务器设置、钩子、回调和逻辑，你仍然可能以一个坏的设置结束，因为底层插件调用在主题加载之前执行得很好，并且永远无法告诉Wordpress关于新证书的信息。

在Wordpress应用程序中，我知道只有两种方法可以在不更新核心或第三方代码逻辑的情况下规避这个问题:

(推荐)添加一个“必须使用”插件到您的安装，调整您需要的设置。MU插件是Wordpress生命周期中最早加载的，可以让你在不直接改变它们的情况下覆盖你的插件和核心。在我的例子中，我用下面的逻辑建立了一个简单的MU插件:

// ep_pre_request_args is an ElasticPress-specific call that we need to adjust for all outbound HTTP requests
add_filter('ep_pre_request_args', function($args){
    if($_ENV['ELASTICSEARCH_SSL_PATH'] ?? false) {
        $args['sslcertificates'] = $_ENV['ELASTICSEARCH_SSL_PATH'];
    }
    return $args;
});

(不推荐)如果你实在没有其他选择，你也可以将根CA附加到wp-includes/certificates/ CA -bundle.crt。这似乎会“纠正”潜在的问题，你将得到正确的SSL证书验证，但这种方法将失败每次更新Wordpress，除非你添加额外的自动化。

我添加这个答案是因为在我甚至懒得深入研究插件源代码之前，我已经认为我在我的设置中做了一些错误或不稳定的事情。希望这可以为正在做类似事情的人节省一些时间。

2021-11-18 06:08:58

其他回答

在我的情况下，当我使用NodeJS设置SSl web服务器时，问题是因为我没有附加Bundle文件证书，最后我通过添加以下文件解决了这个问题:

注:代码来自aboutssl.org

var https = require('https');
var fs = require('fs');
var https_options = {
key: fs.readFileSync("/path/to/private.key"),
cert: fs.readFileSync("/path/to/your_domain_name.crt"),
ca: [
fs.readFileSync('path/to/CA_root.crt'),
fs.readFileSync('path/to/ca_bundle_certificate.crt') // this is the bundle file
]
};
https.createServer(options, function (req, res) {
res.writeHead(200);
res.end("Welcome to Node.js HTTPS Servern");
}).listen(8443)

在上面的文本中，用下面的粗体替换。

/ /私有道路。key -这是您的私钥文件的路径。

路径/ / your_domain_name。crt -输入SSL证书文件的路径。

路径/ / CA_root。crt - CA根证书文件的全路径。

path/to/ca_bundle_certificate——这是你上传的CA包文件的完整路径。

参考:https://aboutssl.org/how-to-install-ssl-certificate-on-node-js/

2022-12-22 08:44:43

在窗户上我遇到了这个问题。Curl是由mysysgit安装的，所以下载并安装最新版本可以解决我的问题。

否则，这些是关于如何更新您的CA证书的不错的说明，您可以尝试。

2014-09-25 03:49:54

关于“SSL证书问题:无法获得本地颁发者证书”错误。需要注意的是，这适用于发送CURL请求的系统，而不是接收请求的服务器。

Download the latest cacert.pem from https://curl.se/ca/cacert.pem Add the '--cacert /path/to/cacert.pem' option to the curl command to tell curl where the local Certificate Authority file is. (or) Create or add to a '.curlrc' file the line: cacert = /path/to/cacert.pem See 'man curl', the section about the '-K, --config <file>' section for information about where curl looks for this file. (or if using php) Add the following line to php.ini: (if this is shared hosting and you don't have access to php.ini then you could add this to .user.ini in public_html).

卷毛。cainfo = " - path / to / downloaded cacert pem。”

请确保将路径用双引号括起来!!

默认情况下，FastCGI进程将每300秒解析一次新文件(如果需要，您可以通过添加几个文件来改变频率https://ss88.uk/blog/fast-cgi-and-user-ini-files-the-new-htaccess/)。

2015-08-05 11:00:20

我们最近遇到了这个错误。事实证明，这与根证书没有正确安装在CA存储目录有关。我使用了一个curl命令，其中我直接指定了CA目录。Curl——cacert /etc/test/server。—capath /etc/test…此命令每次都失败，curl: (60) SSL证书问题:无法获得本地颁发者证书。

在使用strace curl…根据openssl哈希命名约定，curl正在查找名称为60ff2731.0的根证书文件。所以我发现这个命令可以有效地导入根证书:

Ln -s rootcert。pem的openssl x509散列-noout——rootcert.pem ' 0

哪个会创建软链接

60f2731.0 ->找到脚

卷曲，在被子下读取服务器。pem，确定根证书文件的名称(rootcert.pem)，将其转换为其哈希名称，然后进行操作系统文件查找，但无法找到它。

因此，结论是，当curl错误很模糊时，在运行curl时使用strace(这是一个巨大的帮助)，然后确保使用openssl命名约定正确安装根证书。

2016-03-21 23:08:18

以我为例，在我试图用cURL使用的服务上安装我的证书时出现了问题。我未能将中间证书和根证书捆绑/连接到我的域证书。一开始并没有明显的问题，因为Chrome解决了这个问题并接受了证书，尽管省略了中间证书和根证书。

在捆绑证书之后，一切都按预期工作。我捆扎成这样