MacOS 10.14 (Mojave) SSL certificate problem: certificate has expired

最新推荐文章于 2024-05-30 15:45:54 发布
最新推荐文章于 2024-05-30 15:45:54 发布
阅读量1.7k 收藏
点赞数
分类专栏: 总结 ssl macos 文章标签: ssl macos https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wc250025/article/details/122287003
版权
总结 同时被 3 个专栏收录
22 篇文章 0 订阅
订阅专栏
ssl
1 篇文章 0 订阅
订阅专栏
macos
1 篇文章 0 订阅
订阅专栏

记录一下证书过期的排查过程

0. 背景

  1. 系统版本:MacOS 10.14.6
  2. openssl版本:LibreSSL 2.6.5
  3. 网站证书:Let’s Encrypt

1. 现象

自己的gitlab使用Let’s Encrypt生成的证书,在电脑上clone项目时提示:
SSL certificate problem: certificate has expired

2. 排查

  1. 在safari和chrome中打开gitlab,查看到证书没有过期,并且根证书是“ISRG Root X1”签发的。
  2. 在终端中使用openssl进行测试
OpenSSL> s_client -connect {domain}:{port}	
depth=1 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:0
depth=1 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:0
depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:0
---
Certificate chain
 0 s:/CN={domain}
   i:/C=US/O=Let's Encrypt/CN=R3
 1 s:/C=US/O=Let's Encrypt/CN=R3
   i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
 2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3

提示DST Root CA X3的根证书过期了

3. 尝试解决

  1. 先尝试在钥匙串中搜索这个证书,结果没有搜到。后来才发现,钥匙串默认隐藏了过期的证书,需手动显示他们(显示=>显示已过期的证书)
  2. 尝试不信任这个证书,结果发现也不起作用
  3. 用这三个关键词进行搜索:“10.14”、“git”、“dst root ca”
    搜索到了这个issue[链接]1

macOS 10.14 (Mojave) homebrew 更新失败(curl, git 链接的 LibreSSL 版本问题。需要在 /etc/ssl/cert.pem 中手动删除 DST 根证书)

  1. 看到这个解答后先尝试安装了最新的openssl进行测试,结果发现最新的openssl是没问题的
brew install openssl@1.1
/usr/local/opt/openssl@1.1/bin/openssl s_client -connect {domain}:{port}
  1. 确认和openssl版本相关后,又发现好像MacOS上更新openssl不太方便,就采取了3中,删除/etc/ssl/cert.pem DST根证书的方法
删除了以下内容
### Digital Signature Trust Co.

=== /O=Digital Signature Trust Co./CN=DST Root CA X3
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            44:af:b0:80:d6:a3:27:ba:89:30:39:86:2e:f8:40:6b
    Signature Algorithm: sha1WithRSAEncryption
        Validity
            Not Before: Sep 30 21:12:19 2000 GMT
            Not After : Sep 30 14:01:15 2021 GMT
        Subject: O=Digital Signature Trust Co., CN=DST Root CA X3
.................
Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ
-----END CERTIFICATE-----

### Entrust, Inc.

4. 为什么safari中显示的根证书和openssl中显示的不一样?

想起去年收到Let’s Encrypt发的邮件,说他们的某一个根证书要到期了[链接在这里]2,当时看说“对于大多数人来说,什么都不用做”,就没往心里去。
再看了一遍,又学习到了新姿势:
一个证书可被多个根证书信任,这种操作叫“交叉签名”。
低版本的openssl可能优先使用DST的证书,不去看ISRG。

  1. https://github.com/ustclug/discussions/issues/372 ↩︎

  2. https://letsencrypt.org/zh-cn/docs/dst-root-ca-x3-expiration-september-2021/ ↩︎

wc250025
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MAC homebrew curl: (60) SSL certificate problem: certificate has expired
chun2809的博客
12-20 1055
@[TOC](MAC homebrew curl: (60) SSL certificate problem: certificate has expired这里写自定义目录标题) MAC homebrew curl: (60) SSL certificate problem: certificate has expired 安装golang交叉编译插件 brew install FiloSottile/musl-cross/musl-cross 出现问题 curl: (60) SSL certifica
mac电脑git clone项目时报错证书过期和权限被拒绝
一枚不断学习的小码农一枚~
06-05 2464
mac电脑使用git clone命令克隆项目时,一开始一直提示执行以下代码关掉验证后,解决了这个问题之后就不提示这个错误了,但是克隆又一直提示权限被拒绝将id_rsa等文件删除后也不管用,经同事测试,账号密码在window上可以克隆成功,那就证明肯定是mac电脑环境的问题啦!既然我们已经删除了id_rsa文件,那按理应该说git的ssh权限就不存在了,但是有没有可能它被存储起来了呢?经查阅,发现还真就是这个缓存问题。
搭建vue环境报错certificate has expired解决
mine8080的博客
05-30 546
npm 淘宝镜像过期切换
Git 报错 SSL certificate problem: certificate has expired
上海市市花的博客
11-25 726
SSL certificate problem: certificate has expired
iOS-安装Fastlane报错SSL verification error at depth 0: certificate has expired (10)
u010707262的博客
06-20 2141
Fastlane 是一款为 iOS 和 Android 开发者提供的自动化构建工具,它可以帮助开发者将 App 打包、签名、测试、发布、信息整理、提交 App Store 等工作完整的连接起来,实现完全自动化的工作流,如果使用得当,可以显著的提高开发者的开发效率。 安装Fastlane 1.检查有没有ruby环境 ruby -- version 2.安装Xcode命令行工具 xc...
安装cocoapods时候出现错误如下: sudo gem install cocoapods ERROR: While executing gem … (OpenSSL::SSL::SSLErro
zhanglizhi111的博客
08-04 1802
安装cocoapods时候出现错误如下: sudo gem install cocoapods ERROR: While executing gem … (OpenSSL::SSL::SSLError) hostname “upyun.gems.ruby-china.org” does not match the server certificate123 解决方法如下: 查看当前r
qt-rpi-macos:在macOS 10.14 MojavemacOS 10.13 High Sierra上针对RPi3交叉编译Qt 5.11
02-05
在本文中,我们将深入探讨如何在macOS 10.14 MojavemacOS 10.13 High Sierra操作系统上,为树莓派3(RPi3)执行跨平台编译Qt 5.11。这个过程涉及到构建一个交叉编译工具链,它允许开发者在强大的Mac电脑上构建适用...
macOS Mojave 10.14 18A391 Lazy Installer.cdr
12-20
macOS Mojave 10.14 18A391 Lazy Installer.cdr
macOS.Mojave.10.14 ISO 镜像说明.txt
05-13
macOS.Mojave.10.14 ISO 完美镜像,使用vmware实测运行可用。VMware请先下载Unlocker 安装时,遇到副本错误,清打开终端命令修改一下时间,就可以了。 输入:date 111713212015.30 问题原因:据说是2016年2月14日更新...
macOS Mojave 10.14 18A391 Lazy Installer CDR懒人版支持虚拟机变色龙
09-30
不过应某些有特定需求的坛友要求,特此制作10.14懒人版方便大家使用,没有什么技术含量,论坛也有现成APP可以自行定制生成,不再赘述。懒人版的好处:支持虚拟机安装,支持MBR分区表镜像写入,减少一些验证错误等。 ...
黑苹果mac Mojave10.14 安装NVIDIA 显卡驱动教程
10-07
这个教程主要关注的是如何在黑苹果系统Mojave 10.14上安装NVIDIA显卡驱动,特别是针对10系列的显卡,如1050ti。在苹果官方的MacOS中,对非苹果认证的硬件支持有限,尤其是NVIDIA的显卡。因此,对于黑苹果用户来说,...
Mac 常用设置
路虽远行则将至,事虽难做则必成
02-19 1540
使用U盘制作 Mac 系统 https://segmentfault.com/a/1190000015806408 先格式化U盘 然后 在命令行中输入 下面的命令 sudo /Applications/Install\ macOS\ Mojave\ Beta.app/Contents/Resources/createinstallmedia --volume /Volumes/moja...
yarn install 报错 error Error: certificate has expired
Unremitting__的博客
02-25 305
2、使用命令 yarn config set strict-ssl false 将值修改为false。1、使用 yarn config list 查看 strict-ssl 的 值。
Let’s Encrypt 根证书(DST Root CA X3)ssl过期解决办法
qq_35035975的博客
06-09 5031
Let’s Encrypt 根证书(DST Root CA X3)根证书过期,浏览器打开 https 网站,提示证书错误,在 Android,Windows,macOS,Linux等老旧系统上的解决办法。
更新ruby镜像遇到OpenSSL证书过期的问题
mx666666的博客
12-09 3465
最近升级cocoapods中发现在更新ruby镜像源的时候遇见ssl证书链接错误的情况, https://gems.ruby-china.org/已经访问不了,需要替换新的镜像 首先将查看自己的镜像 gem sources -l 再讲之前的镜像删除 //我自己电脑上是https://gems.ruby-china.org/,所以删除该镜像 gem sources --remove https://gems.ruby-china.org/ 然后添加新的镜像 gem sourc..
git 报错信息:SSL certificate problem: certificate has expired 解决方案
热门推荐
Yoyo_Yan的博客
09-18 2万+
git pull时出现这个报错,如下: unable to access 'https:/xxxxxxx.git/': SSL certificate problem: certificate has expired 后来尝试直接clone项目也出现了这个问题 百度之后看到有的可以通过git config –global http.sslVerify false命令解决,但是我的报错: 我的...
OS X 10.11 安装Cocoapods 出现问题的解决方法
zhanglizhi111的博客
08-04 781
转自:http://blog.csdn.net/NSNirvana/article/details/46873071 今天尝试用 Cocoapods安装个第三方库.. 输入pod install, 发现 command not find。 WTF! 估计是升级10.11后Cocoapods被干掉了。 我输入 sudo gem install cocoa pods
git 报错信息 SSL certificate problem: certificate has expired 解决方案
u011753747的博客
03-29 4713
提交代码报错,提示SSL证书过期,信息如下: SSL certificate problem: certificate has expired 解决方案: 终端输入以下命令,忽略ssl证书验证,提醒后端管理员更新SSL证书。 git config --global http.sslVerify false ...
Mac OS python3.6版本报SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)错误
深海微澜
03-03 510
参考:https://bugs.python.org/issue29065 原因:我用的python3.6是从python.org上下载的MacOS二进制安装程序。 这个版本有个特性,就是它不再依赖MacOS的openSSL。它附带了自己的openSSL,并且不能访问MacOS的根证书。 解决方案: open "/Applications/Python 3.6/Install Certificates.command" 这个命令用于从第三方证书包(https://pypi.python.org/p
cURL Error: SSL certificate problem: unable to get local issuer certificate
最新发布
06-22
当你遇到 `cURL Error: SSL certificate problem: unable to get local issuer certificate` 错误时,这通常表示 cURL 在尝试与某个服务器建立安全(HTTPS)连接时,它无法验证服务器提供的 SSL 证书。具体来说,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值