curl:(60) SSL证书问题:无法获得本地颁发者证书

root@sclrdev:/home/sclr/certs/FreshCerts# curl --ftp-ssl --verbose ftp://{abc}/ -u trup:trup --cacert /etc/ssl/certs/ca-certificates.crt
* About to connect() to {abc} port 21 (#0)
*   Trying {abc}...
* Connected to {abc} ({abc}) port 21 (#0)
< 220-Cerberus FTP Server - Home Edition
< 220-This is the UNLICENSED Home Edition and may be used for home, personal use only
< 220-Welcome to Cerberus FTP Server
< 220 Created by Cerberus, LLC
> AUTH SSL
< 234 Authentication method accepted
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS alert, Server hello (2):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

当前回答

它失败了，因为cURL无法验证服务器提供的证书。

有两个选项可以让它工作:

使用带-k选项的cURL，允许cURL建立不安全的连接，即cURL不验证证书。将根CA(签署服务器证书的CA)添加到/etc/ssl/certs/ca-certificates.crt

您应该使用选项2，因为它是确保您连接到安全FTP服务器的选项。

2014-07-07 19:34:22

其他回答

我的情况不同。我在防火墙后面托管一个网站。错误是由pfSense引起的。

Network layout: |Web Server 10.x.x.x| <-> |pfSense 49.x.x.x| <-> |Open Internet|

多亏了这个答案，我意外地找到了原因。

当我从广域网访问我的网站时，一切都很好。

然而，当从局域网内访问站点时(例如，当Wordpress向其自己的服务器发出curl请求时，尽管使用WAN IP 49.x.x.x)，它被提供pfSense登录页面。

我将证书标识为pfSense webConfigurator自签名证书。难怪curl抛出一个错误。

原因:发生的事情是curl正在使用站点的WAN IP地址49.x.x.x。但是，在web服务器的上下文中，广域网IP是防火墙。

调试:我发现我正在获得pfSense证书。

解决方案:在托管该站点的服务器上，将其自己的域名指向127.0.0.1

通过应用该解决方案，web服务器正确地处理了curl的请求，并且没有转发到防火墙，防火墙通过发送登录页面进行响应。

2018-03-31 15:46:23

根据cURL文档，您还可以将证书传递给cURL命令:

获取可以验证远程服务器的CA证书并使用适当的选项指出此CA证书进行验证时连接。对于libcurl黑客:curl_easy_setopt(curl， CURLOPT_CAPATH capath); 使用curl命令行工具:——cacert[文件]

例如:

curl --cacert mycertificate.cer -v https://www.stackoverflow.com

2019-02-20 11:17:29

我也遇到过这个问题。我读了这篇文章，大部分答案都很有信息量，但对我来说太复杂了。我在社交话题上没有经验，所以这个答案适合像我这样的人。

在我的例子中，发生这个错误是因为我没有在应用程序中使用的证书旁边包含中间证书和根证书。

以下是我从SSL证书供应商那里得到的信息:

- abc.crt
- abc.pem
- abc-bunde.crt

在abc。CRT文件，只有一个证书:

-----BEGIN CERTIFICATE-----
/*certificate content here*/
-----END CERTIFICATE-----

如果我以这种格式提供它，浏览器将不会显示任何错误(Firefox)，但我会得到curl:(60) SSL证书:无法获得本地颁发者证书错误时，我做curl请求。

要修复此错误，请检查abc-bunde。crt文件。你很可能会看到这样的东西:

这些是您的中级证书和根证书。发生错误是因为您提供给应用程序的SSL证书中缺少它们。

要修复此错误，请以以下格式合并这两个文件的内容:

请注意，证书之间、文件的末尾或开头没有空格。一旦您向应用程序提供了这个组合证书，您的问题就会得到解决。

2020-03-04 12:05:33

尝试在Ubuntu中重新安装curl，并使用sudo update-ca-certificates—fresh更新我的CA证书

2020-01-04 15:26:51