因为本地证书太旧或不全导致的 HTTPS 访问失败问题20240520

已于 2024-05-20 17:54:44 修改
阅读量386 收藏 4
点赞数 3
分类专栏: 技术干货分享 文章标签: https ssl 网络协议
于 2024-05-20 17:42:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Narutolxy/article/details/139071291
版权

因为本地证书太旧或不全导致的 HTTPS 访问失败问题

在生产环境中,我们经常需要使用 curl 命令来测试和调试 HTTPS URL。然而,最近我遇到了一个棘手的问题:在测试环境中使用 curl 可以正常访问某个 URL,但在生产环境中却遇到了 SSL 错误。这篇博客将详细分析问题的原因,并提供解决方案,希望能帮助大家在类似情况下迅速解决问题。

问题描述

测试环境

在测试环境中,以下 curl 命令可以正常运行并返回预期结果:

curl -v --location --request GET 'https://example.com/api/test' --header 'User-Agent: Apifox/1.0.0 (https://apifox.com)'

输出结果:

< HTTP/1.1 200 OK
< Date: Mon, 20 May 2024 09:27:27 GMT
< Content-Type: application/json;charset=UTF-8
< Transfer-Encoding: chunked
< Connection: keep-alive
< X-Example-Trace-Id: 4a6c1cee99484e82bfe7e992736fcea7

{"respCode":"1111111","respDesc":"Required request body is missing: ..."}

生产环境

在生产环境中,运行相同的 curl 命令会遇到 SSL 错误,即使尝试忽略证书问题也无效。

初步分析

网络连通性

首先,我们确认了生产环境中的网络连通性没有问题。使用 telnet 命令可以成功连接到目标服务器:

telnet example.com 443

可能原因

经过分析,怀疑问题出在自签名证书上。在测试环境中,可能已经手动导入了自签名证书,而生产环境中没有进行相应的配置。因此,需要将测试环境中的自签名证书复制到生产环境中。

解决方案

很高兴能帮助到你!确实,针对因为本地证书太旧或不全导致的 HTTPS 访问失败的 SSL 报错,通常有两个解决方案:

解决方案一:在线更新证书

步骤 1:更新系统并安装必要的软件包

首先,确保系统和软件包是最新的:

sudo yum update -y
sudo yum install ca-certificates openssl -y

步骤 2:强制启用和更新 CA 证书库

使用以下命令强制启用和更新 CA 证书库:

sudo update-ca-trust force-enable
sudo update-ca-trust extract

验证更新

使用 curl 命令验证是否解决了 SSL 错误:

curl -v --location --request GET 'https://example.com/api/test' --header 'User-Agent: Apifox/1.0.0 (https://apifox.com)'

解决方案二:离线更新证书

步骤 1:导出自签名证书

在可以正常访问 HTTPS 的测试环境中,导出自签名证书:

openssl x509 -in /path/to/test/certificate.crt -out /path/to/exported/certificate.pem

步骤 2:复制证书到生产环境

将导出的 certificate.pem 文件复制到生产环境。可以使用 scp 命令:

scp /path/to/exported/certificate.pem user@production-server:/path/to/production/certificate.pem

步骤 3:在生产环境中安装证书

  1. 将复制到生产环境中的证书移动到适当的位置(例如 /etc/pki/ca-trust/source/anchors/ 目录):

    sudo mv /path/to/production/certificate.pem /etc/pki/ca-trust/source/anchors/

  2. 更新 CA 证书库:

    sudo update-ca-trust extract

验证更新

使用 curl 命令验证是否解决了 SSL 错误:

curl -v --location --request GET 'https://example.com/api/test' --header 'User-Agent: Apifox/1.0.0 (https://apifox.com)'

总结

在线更新证书

  • 优点:简单快速,只需运行几个命令即可更新系统 CA 证书库。
  • 缺点:需要互联网连接,无法在无网络环境中进行。

离线更新证书

  • 优点:适用于无网络环境,通过复制证书文件和更新系统 CA 证书库实现。
  • 缺点:需要手动导出和复制证书文件,相对繁琐。

这两种方案都可以解决因为本地证书太旧或不全导致的 HTTPS 访问失败问题。根据你的环境和需求选择合适的方案即可。

常见问题与解答

为什么测试环境正常,生产环境不正常?

这是因为测试环境中可能已经手动导入了自签名证书,而生产环境没有进行相应的配置。生产环境中的 CA 证书库需要更新以包含自签名证书。

什么是自签名证书?

自签名证书是由自己生成和签署的证书,而不是由受信任的第三方证书颁发机构(CA)签署。由于不是由受信任的 CA 签署,浏览器和其他客户端默认不会信任它,需要手动导入到系统的 CA 证书库中。

如何确保 CA 证书库是最新的?

可以使用操作系统的包管理工具来更新 CA 证书库。例如,在 CentOS 中使用 yum 更新:

sudo yum update ca-certificates

通过上述步骤,我们成功解决了在生产环境中使用 curl 访问 HTTPS URL 时遇到的 SSL 错误。希望这篇博客能帮助大家在遇到类似问题时迅速找到解决方案。

Narutolxy
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Windows UAC权限详解以及因为权限不对等引发的若干问题分享
dvlinker的技术专栏
11-15 1万+
Windows UAC权限详解以及因为权限不对等引发的若干问题分享。
phpstudy 配置ssl证书开启https 遇到无法客户端和服务器不支持一般 SSL 协议版本或加密套件。
November2013的专栏
01-18 4349
phpstudy 配置ssl证书开启https 【准备】 (1)phpstudy下载:http://phpstudy.php.cn/ (2)phpstudy集成环境下正常运行的网站 (3)避免意外请先备份(复制)好httpd.conf配置文件 【开始】 (1)开启apache的编译ssl模块,如图打开phpstudy—其它选项设置—PHP扩张及设置—php扩展—php-openssl前面打勾 (2)如图点击打开修改httpd.conf配置文件,打开找到#LoadModule ssl_.
Linux服务器安装nvm
一路向北
03-07 699
【代码】Linux服务器安装nvm。
获取VIN车架号查询车辆信息API接口
tanshuapi的博客
12-22 1186
通过VIN码查询api接口,传入17位车辆识别码(车架号)VIN码来获取车辆的品牌、车型年款、出厂日期、发动机类型、排量、车系等多维度车辆参数。查询成功率99%以上,响应极速。首先,使用三方的数据平台该API接口需要先注册后申请此API接口。申请成功后赠送免费次数。接口使用或者有任何问题需要交流。
使用api测试ollama、one Api、fastgpt的连通性
最新发布
枫蓝驿的博客
07-16 491
使用api测试ollama、one Api、fastgpt的连通性
伙伴云_本地SQL与伙伴云API接口链接实战_表格操作
cwjcw81的博客
04-02 439
伙伴云API接口的上传,更新,删除的封装
Postman/Apifox接口测试——Pre-request自动登录
tianyuzui6的博客
11-24 1916
Apifox官方使用文档中有关于的实现:在运行接口用例的时候,自动完成登录,而无需手动登录。
ngrok使用自己的证书通过https访问
01-27
如果不一致,可能会导致证书验证失败。 - **日志记录**:可以通过添加`-log=log.txt`参数来记录日志,便于排查问题。 - **免费证书处理**:如果使用的是免费证书,需要注意某些免费证书可能不包含中间证书。在这种...
本地HTTPS环境搭建的完整步骤记录
09-30
本地HTTPS环境搭建的步骤记录包括了生成本地开发证书、配置Nginx服务器以支持SSL/TLS加密协议,并最终解决Mac系统中Chrome浏览器不信任自签名证书问题。以下是知识点的详细解释: 1. 生成本地开发证书: - ...
【异常】IOS系统 H5 Https请求后端,速度不稳定,很慢。OCSP域名无法访问问题
seowen的开发 小本子
06-16 3617
事件由来 如果最近发现iOS APP打开h5非常慢,达到5秒以上,而安卓又正常,如果刚好你又是使用了Let's Encrypt 的免费SSL服务,恭喜你,你可能是一位运营商干扰的受害者。 原因: 近期由于众所周知的原因,国内无法直接访问 Let's Encrypt 的 OSCP 域名,导致出现了不能签发证书、OCSP Stapling 失败、网页打开慢等问题。 经检查目前是 ocsp.int-x3.letsencrypt.org 的 cname 域名 a771.dscq.akamai.net 受到了干
centos 添加CA 证书
热门推荐
E_mac的专栏
01-07 1万+
centos --- Install the ca-certificates package: yum install ca-certificates Enable the dynamic CA configuration feature: update-ca-trust enable Add it as a new file to /etc/pki/ca-trust/
python资格证书查询_用Python来检查域名HTTPS证书
weixin_39934085的博客
11-20 453
最近有个需求需要检查管理域名证书是否过期, 需要连到各个域名然后下载证书检查时间, 网上找了一通, 找到了目前来说比较方便的代码..import ssl, sockethostname = 'www.qq.com'c = ssl.create_default_context()s = c.wrap_socket(socket.socket(), server_hostname=hostname)s...
解决Apifox 访问外网接口的403问题
章鱼欧巴的专栏
06-29 488
【代码】解决Apifox 访问外网接口的403问题
如何解决服务器CA证书过期的问题
henanlion的博客
12-27 1697
由于Linux是开源的系统,而且网上学习的资源也特别地丰富,所以ChatGPT对于问题的理解、识别、解决都相当地到位,能够快速地给我们一些非常好的思路和建议,因此应该成为技术学习者必备的工具。上面的问题困扰了我两天时间,主要原因是自己对CA证书的理解还不够深入,ChatGPT用的比较少,对于问题的解决只是通过搜索引擎和网上交流平台,对于信息的筛选存在不足。经过分析,发现上面的错误是由于系统证书的时间比服务器当前的时间要早,也就是过期了,所以才报错。最后,终于一键解决了系统证书超期的问题
centos服务软件环境搭建
weixin_39656626的博客
03-03 504
安装依赖(不同的系统所需依赖不同根据提示安装即可) 1、因为 jdk,tomcat,mysql 的安装过程中需要从网上下载部分支持包才可以继续,所以需要提前安装下载好依赖 yum install glibc.i686 yum -y install libaio.so.1 libgcc_s.so.1 libstdc++.so.6 yum update libstdc+±4.4.7-...
CURL状态码60问题解决
本尔2008的博客
04-07 721
时间长了,系统自带的ca肯定不会有新的ca机构增加。或者手动更新指定位置上的ca文件。就是没法验证ssl证书是否合法。或者命令行使用-k选项。
解决requests 2.28.x版本SSL错误:证书验证失败
weixin_44617651的博客
11-17 1113
在使用requests 2.28.1版本时,我进行HTTP post传输报告负载时,由于SSL验证设置为True,请求失败,错误如下:(Caused by SSLError(SSLCertVerificationError(1, ‘[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1091)’)))。但是,当我将requests模块降级到2.27
解决Windows RDP证书异常导致的远程连接问题
"Windows RDP证书问题导致无法远程连接的解决方案" 在Windows环境中,远程桌面协议(Remote Desktop Protocol, RDP)是用户访问远程计算机的主要方式。然而,当遇到RDP证书问题时,可能会导致无法正常远程连接。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Narutolxy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值