curl:(60) SSL证书问题:无法获得本地颁发者证书

root@sclrdev:/home/sclr/certs/FreshCerts# curl --ftp-ssl --verbose ftp://{abc}/ -u trup:trup --cacert /etc/ssl/certs/ca-certificates.crt
* About to connect() to {abc} port 21 (#0)
*   Trying {abc}...
* Connected to {abc} ({abc}) port 21 (#0)
< 220-Cerberus FTP Server - Home Edition
< 220-This is the UNLICENSED Home Edition and may be used for home, personal use only
< 220-Welcome to Cerberus FTP Server
< 220 Created by Cerberus, LLC
> AUTH SSL
< 234 Authentication method accepted
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS alert, Server hello (2):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

当前回答

我们最近遇到了这个错误。事实证明，这与根证书没有正确安装在CA存储目录有关。我使用了一个curl命令，其中我直接指定了CA目录。Curl——cacert /etc/test/server。—capath /etc/test…此命令每次都失败，curl: (60) SSL证书问题:无法获得本地颁发者证书。

在使用strace curl…根据openssl哈希命名约定，curl正在查找名称为60ff2731.0的根证书文件。所以我发现这个命令可以有效地导入根证书:

Ln -s rootcert。pem的openssl x509散列-noout——rootcert.pem ' 0

哪个会创建软链接

60f2731.0 ->找到脚

卷曲，在被子下读取服务器。pem，确定根证书文件的名称(rootcert.pem)，将其转换为其哈希名称，然后进行操作系统文件查找，但无法找到它。

因此，结论是，当curl错误很模糊时，在运行curl时使用strace(这是一个巨大的帮助)，然后确保使用openssl命名约定正确安装根证书。

2016-03-21 23:08:18

其他回答

在使用strace curl…根据openssl哈希命名约定，curl正在查找名称为60ff2731.0的根证书文件。所以我发现这个命令可以有效地导入根证书:

Ln -s rootcert。pem的openssl x509散列-noout——rootcert.pem ' 0

哪个会创建软链接

60f2731.0 ->找到脚

卷曲，在被子下读取服务器。pem，确定根证书文件的名称(rootcert.pem)，将其转换为其哈希名称，然后进行操作系统文件查找，但无法找到它。

因此，结论是，当curl错误很模糊时，在运行curl时使用strace(这是一个巨大的帮助)，然后确保使用openssl命名约定正确安装根证书。

2016-03-21 23:08:18

安装Git Extensions v3.48后出现这个问题。尝试再次安装mysysgit，但同样的问题。最后，不得不禁用(请考虑安全隐患!)Git SSL验证:

git config --global http.sslVerify false

但如果你有一个域证书，最好将其添加到(Win7)

C:\Program Files (x86)\Git\bin\curl-ca-bundle.crt

2014-11-24 12:12:27

我也遇到过这个问题。我读了这篇文章，大部分答案都很有信息量，但对我来说太复杂了。我在社交话题上没有经验，所以这个答案适合像我这样的人。

在我的例子中，发生这个错误是因为我没有在应用程序中使用的证书旁边包含中间证书和根证书。

以下是我从SSL证书供应商那里得到的信息:

- abc.crt
- abc.pem
- abc-bunde.crt

在abc。CRT文件，只有一个证书:

-----BEGIN CERTIFICATE-----
/*certificate content here*/
-----END CERTIFICATE-----

如果我以这种格式提供它，浏览器将不会显示任何错误(Firefox)，但我会得到curl:(60) SSL证书:无法获得本地颁发者证书错误时，我做curl请求。

要修复此错误，请检查abc-bunde。crt文件。你很可能会看到这样的东西:

这些是您的中级证书和根证书。发生错误是因为您提供给应用程序的SSL证书中缺少它们。

要修复此错误，请以以下格式合并这两个文件的内容:

请注意，证书之间、文件的末尾或开头没有空格。一旦您向应用程序提供了这个组合证书，您的问题就会得到解决。

2020-03-04 12:05:33

到目前为止，我看到这个问题在公司网络中发生，有两个原因，其中一个或两个都可能发生在你的情况中:

由于网络代理的工作方式，它们有自己的SSL证书，从而改变了curl看到的证书。许多或大多数企业网络强制您使用这些代理。在客户端电脑上运行的一些防病毒程序也类似于HTTPS代理，这样它们就可以扫描你的网络流量。您的防病毒程序可能有禁用此功能的选项(假设您的管理员允许)。

作为旁注，上面的第2条可能会让您对被扫描的本应安全的TLS通信感到不安。这就是你的公司世界。

2017-12-20 04:11:28

在窗户上我遇到了这个问题。Curl是由mysysgit安装的，所以下载并安装最新版本可以解决我的问题。

否则，这些是关于如何更新您的CA证书的不错的说明，您可以尝试。

2014-09-25 03:49:54

curl:(60) SSL证书问题:无法获得本地颁发者证书

推荐文章

最新文章

标签