openssl的协议版本引起的问题curl: (35) error:0A000152:SSL routines::unsafe legacy renegotiation disabled

于 2025-05-09 14:44:32 发布
阅读量286 收藏
点赞数 1
文章标签: ssl 服务器 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/li81562/article/details/147822057
版权

使用curl或者wget这样的命令出现这样的报错

curl: (35) error:0A000152:SSL routines::unsafe legacy renegotiation disabled

或者Run failed: [SSL: UNSAFE_LEGACY_RENEGOTIATION_DISABLED] unsafe legacy renegotiation disabled (_ssl.c:1010) 这样的报错
这个错误表明您的客户端(使用 OpenSSL 3.0+)尝试连接的服务器仍在使用不安全的传统 SSL/TLS 重新协商协议,而现代 OpenSSL 默认禁用了此功能。我使用的是3.0.15, 以下是分步解决方案:

vim /etc/ssl/openssl.cnf 

# requires this to avoid interpreting an end user certificate as a CA.

basicConstraints=CA:FALSE

# This is typical in keyUsage for a client certificate.
# keyUsage = nonRepudiation, digitalSignature, keyEncipherment

# PKIX recommendations harmless if included in all certificates.
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer

# This stuff is for subjectAltName and issuerAltname.
# Import the email address.
# subjectAltName=email:copy
# An alternative to produce certificates that aren't
# deprecated according to PKIX.
# subjectAltName=email:move

# Copy subject details
# issuerAltName=issuer:copy

# This really needs to be in place for it to be a proxy certificate.
proxyCertInfo=critical,language:id-ppl-anyLanguage,pathlen:3,policy:foo

####################################################################
[ tsa ]

default_tsa = tsa_config1	# the default TSA section

[ tsa_config1 ]

# These are used by the TSA reply generation only.
dir		= ./demoCA		# TSA root directory
serial		= $dir/tsaserial	# The current serial number (mandatory)
crypto_device	= builtin		# OpenSSL engine to use for signing
signer_cert	= $dir/tsacert.pem 	# The TSA signing certificate
					# (optional)
certs		= $dir/cacert.pem	# Certificate chain to include in reply
					# (optional)
signer_key	= $dir/private/tsakey.pem # The TSA private key (optional)
signer_digest  = sha256			# Signing digest to use. (Optional)
default_policy	= tsa_policy1		# Policy if request did not specify it
					# (optional)
other_policies	= tsa_policy2, tsa_policy3	# acceptable policies (optional)
digests     = sha1, sha256, sha384, sha512  # Acceptable message digests (mandatory)
accuracy	= secs:1, millisecs:500, microsecs:100	# (optional)
clock_precision_digits  = 0	# number of digits after dot. (optional)
ordering		= yes	# Is ordering defined for timestamps?
				# (optional, default: no)
tsa_name		= yes	# Must the TSA name be included in the reply?
				# (optional, default: no)
ess_cert_id_chain	= no	# Must the ESS cert id chain be included?
				# (optional, default: no)
ess_cert_id_alg		= sha1	# algorithm to compute certificate
				# identifier (optional, default: sha1)

[insta] # CMP using Insta Demo CA
# Message transfer
server = pki.certificate.fi:8700
# proxy = # set this as far as needed, e.g., http://192.168.1.1:8080
# tls_use = 0
path = pkix/

# Server authentication
recipient = "/C=FI/O=Insta Demo/CN=Insta Demo CA" # or set srvcert or issuer
ignore_keyusage = 1 # potentially needed quirk
unprotected_errors = 1 # potentially needed quirk
extracertsout = insta.extracerts.pem

# Client authentication
ref = 3078 # user identification
secret = pass:insta # can be used for both client and server side

# Generic message options
cmd = ir # default operation, can be overridden on cmd line with, e.g., kur

# Certificate enrollment
subject = "/CN=openssl-cmp-test"
newkey = insta.priv.pem
out_trusted = apps/insta.ca.crt # does not include keyUsage digitalSignature
certout = insta.cert.pem

[pbm] # Password-based protection for Insta CA
# Server and client authentication
ref = $insta::ref # 3078
secret = $insta::secret # pass:insta

[signature] # Signature-based protection for Insta CA
# Server authentication
trusted = $insta::out_trusted # apps/insta.ca.crt

# Client authentication
secret = # disable PBM
key = $insta::newkey # insta.priv.pem
cert = $insta::certout # insta.cert.pem

[ir]
cmd = ir

[cr]
cmd = cr

[kur]
# Certificate update
cmd = kur
oldcert = $insta::certout # insta.cert.pem

[rr]
# Certificate revocation
cmd = rr
oldcert = $insta::certout # insta.cert.pem

最后添加

openssl_conf = openssl_init

[openssl_init]
ssl_conf = ssl_sect

[ssl_sect]
system_default = system_default_sect

[system_default_sect]
Options = UnsafeLegacyServerConnect

然后重启服务即可

注意在 OpenSSL < 3.0.4 存在一个错误,会忽略UnsafeLegacyServerConnect选项。如果您使用的是<= 3.0.3版本,则可以使用(更不安全的)UnsafeLegacyRenegotiation代替。

hfd下载大模型文件时出现curl:(35) OpenSSL/1.1.1k:error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert的解决方案
weixin_43178406的博客
03-29 2万+
本文主要介绍了使用hfd下载大模型文件时出现curl: (35) OpenSSL/1.1.1k: error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error的解决方案,希望能对使用hfd下载大模型的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
Error: write EPROTO 93988952:error:100000f7:SSL routines:OPENSSL_internal:WRONG_VERSION_NUM
十三阿哥的博客
08-01 8024
【代码】Error: write EPROTO 93988952:error:100000f7:SSL routines:OPENSSL_internal:WRONG_VERSION_NUM。
OPENSSL由1.1.1升级到3,报error:0A000152:SSL routines:final_renegotiate:unsafe legacy renegotiation disable
zhangxuri198的博客
06-14 5598
升级OPENSSL3报unsafe legacy renegotiation disable,简单糊弄过去了。
node request请求报错 error:0A000152:SSL routines:final_renegotiat e:unsafe legacy renegotiation disabled
weixin_45999514的博客
06-17 920
首先确保已经安装nvm版本管理工具,未安装需先卸载现有node再安装nvm。可切换至低版本的node解决该问题。使用命令查看版本和切换版本
Linux SSHD 启动失败:OpenSSL 版本不匹配问题分析与解决
最新发布
XMYX-0
03-10 1289
如果只是升级了 OpenSSL,先尝试。如果sshd仍然报错,检查以确定依赖的 OpenSSL 版本。如果sshd仍然链接到旧版本 OpenSSL,尝试ldconfig更新动态库。如果ldconfig无效,检查/usr/lib64是否有旧版本libssl.so,并手动创建符号链接。如果问题仍然存在,重新安装以匹配新的 OpenSSL 版本。通过上述方法,你应该可以成功解决 SSHD 启动失败的问题
C++ curl库 源码编译及使用(VS2019)
09-27 3869
源码编译 官网下载源码: https://curl.se/download.html 使用 cmake 界面版生成VS2019解决方案 打开生成的解决方案 CURL.sln 生成动态库,注意选择需要的版本(debug/release)和平台(x64/x86) ...
git clone失败无错误信息或报penSSL/3.1.1: error:0A000152:SSL routines::unsafe legacy renegotiation disabled
qq_25995119的博客
08-19 1768
git clone失败无错误信息或报penSSL/3.1.1: error:0A000152:SSL routines::unsafe legacy renegotiation disabled
curl: (35) SSL connect error问题处理
SAGGITARXM
11-27 4320
  解决   无法在服务器使用curl命令访问https域名,原因是nss版本有点旧了,yum -y update nss更新一下,重新curl即可!  
【网络排障/自签证书踩坑】curl: (35) OpenssL SSL connect: Connection reset by peer in connection to
EasyJax的博客
05-31 8086
网络排障,以及代码如何写可以绕过Https请求的SSL验证
linux git clone出现OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to huggingface.co:443解决方案
热门推荐
weixin_43178406的博客
06-03 9万+
本文主要介绍了在Linux环境下对huggingface网站进行git clone时出现了OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to huggingface.co:443的解决方案,希望能对使用huggingface的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案 2. 解决方案 2.1 解决方案一 2.2 解决方案二
OpenSSL:configure: error: OpenSSL library not found解决方案
weixin_43178406的博客
02-04 2万+
本文主要介绍了OpenSSL:configure: error: OpenSSL library not found解决方案,希望能对使用openssl的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
curl: (35) SSL connect error报错,解决方法
qq_35061334的博客
06-02 2万+
curl: (35) SSL connect error报错  原因:无法在服务器使用curl命令访问https域名,nss版本有点旧  解决方法:(更新nss使用下面的命令) yum -y update nss
Python requests【unsafe legacy renegotiation disabled问题
weixin_55109596的博客
09-14 995
Python如何解决ssl错误
curl: (35) SSL connect error
小龙在线
12-10 2万+
最近用curl下载图片,发现报错: curl: (35) SSL connect error 换成openssl curl默认支持https是nss,而不是openssl,需要换成openssl。 cd /usr/local/src/ wget http://curl.haxx.se/download/archeology/curl-7.19.7.tar.gz tar -zxf curl-7.1...
[SSL: UNSAFE_LEGACY_RENEGOTIATION_DISABLED]
vener_的博客
12-03 1283
原因可能是服务器的认证方式版本太低然后requests抛弃了这种认证方式。使用requess库访问https网址时,返回。
执行curl -sSL 提示curl: (35) SSL connect error
SnowMultiflora的博客
12-28 965
在给linux虚拟机升级内核的时候,遇见了这个错误, 提示如下报错: curl: (35) SSL connect error 解决方法:升级网络安全服务即可。 yum -y update nss
OpenSSL: error:0A000086:SSL routines::certificate verify failed:
12-06
这个错误信息"OpenSSL: error:0A000086:SSL routines::certificate verify failed:"通常出现在使用OpenSSL库进行SSL/TLS连接时,证书验证失败的情况下。这个错误可能由多种原因引起,以下是一些常见的原因和解决方法: 1. 系统时间不正确: 解决方法:确保系统时间是准确的,可以与网络时间服务器同步。 2. 根证书缺失或过期: 解决方法:更新系统的根证书库,确保包含了最新的根证书。 3. 服务器证书过期或无效: 解决方法:检查服务器证书的有效期和签名,确保证书是有效的。 4. 中间证书缺失: 解决方法:确保服务器配置了完整的中间证书链。 5. 主机名不匹配: 解决方法:验证证书中的域名与实际访问的域名是否一致。 6. SNI(服务器名称指示)配置问题: 解决方法:确保客户端正确设置了SNI,特别是在使用虚拟主机的情况下。 7. 客户端或服务器配置问题: 解决方法:检查OpenSSL配置,确保正确设置了受信任的证书颁发机构。 8. 防火墙或中间人攻击: 解决方法:确保没有防火墙或中间设备在拦截和修改SSL流量。 要解决这个问题,可以尝试以下步骤: 1. 更新系统根证书库 2. 检查服务器证书的有效性 3. 验证客户端和服务器OpenSSL配置 4. 使用OpenSSL命令行工具进行详细诊断 例如,可以使用以下命令来测试SSL连接: ``` openssl s_client -connect example.com:443 -showcerts ``` 这个命令会显示详细的SSL握手过程和证书信息,有助于进一步诊断问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值