trust CA 证书不完整导致return code: 21 (unable to verify the first certificate)

最新推荐文章于 2024-10-27 21:24:06 发布
最新推荐文章于 2024-10-27 21:24:06 发布
阅读量2.8k 收藏
点赞数
分类专栏: 架构 other 文章标签: trust CA first certificate verify
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40455124/article/details/118500544
版权
本文讨论了在HTTPS请求中遇到的证书不可信问题,特别是Self-signed CA的情况。同时,介绍了如何通过openssl s_client -showcerts -connect命令检测证书的完整性,正常情况下应显示完整的证书链。如果证书链不完整,可能会导致验证失败,如returncode:21。正确配置和验证证书链对于确保安全的HTTPS连接至关重要。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Self-signed CA在https请求时候会返回证书不可信,而trust CA如果不是完整(三段模式)的证书,那么在使用代码进行https访问时候的时候,会返回:
return code: 21 (unable to verify the first certificate)

而web访问是没有问题。

如何检测是否完整,可以使用openssl s_client -showcerts -connect xxx.xxx.com:443 进行检测,以下为一个完整CA的示意

openssl s_client -showcerts -connect xxx.xxx.com:443
CONNECTED(00000003)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = GeoTrust RSA CA 2018
verify return:1
depth=0 C = HK, L = NAMES, O = XXXX COMPANY LITMIED, OU = IT, CN = xxx.xxx.com
verify return:1
---
Certificate chain
 0 s:/C=HK/L=NAMES/O=XXXX COMPANY LITMIED/OU=IT/CN=xxx.xxx.com
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=GeoTrust RSA CA 2018
-----BEGIN CERTIFICATE-----
MIIGiDCCBXCgAwIBAgIQBEk45aoynOBaYY9spdyEVzANBgkqhkiG9w0BAQsFADBe
MQswCQYDVQQGEwJVUzE
-----END CERTIFICATE-----
 1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=GeoTrust RSA CA 2018
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
-----BEGIN CERTIFICATE-----
MIIEizCCA3OgAwIBAgIQBUb+GCP34ZQdo5/OFMRhczANBgkqhkiG9w0BAQsFADBh
MQswCQYDVQQGEwJVUzEVMBMGA1U 
B0AFsQ+DU0NCO+f78Xf7
-----END CERTIFICATE-----
 2 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
-----BEGIN CERTIFICATE-----
MIIDrzCCApegAwIBAgIQCDvgVpB 
-----END CERTIFICATE-----
---
Server certificate
subject=/C=HK/L=NAMES/O=XXXX COMPANY LITMIED/OU=IT/CN=xxx.xxx.com
issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=GeoTrust RSA CA 2018
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 4471 bytes and written 415 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: XXXXXXXXXXXXXXXXXXXX
    Session-ID-ctx: 
    Master-Key: XXXXXXXXXXXXXXXXXXXXXXXX
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    TLS session ticket lifetime hint: 3600 (seconds)
    TLS session ticket:
    0000 - 2c 47 b1 75 f6 18 a9 c9-10 90 c1 08 ba ed d7 ec   ,G.u............
    

    Start Time: 1625472287
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

而异常的应该只有1段或者2段

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
curl 错误:unable to verify the first certificate 解决办法
u010912615的博客
03-28 4216
CURL 错误:UNABLE TO VERIFY THE FIRST CERTIFICATE 解决办法 我在阿里云申请的免费ssl证书到期了,又重新申请了新的免费证书,部署完毕后浏览 事情是这样的: 我在阿里云申请的免费ssl证书到期了,又重新申请了新的免费证书,部署完毕后浏览器访问 https 网站正常,但...
FileDownload https 自签名证书问题 报错:CertPathValidatorException
Hello__code的博客
07-02 5041
一:前言    项目安全升级,使用https协议,老板出钱,只能使用自签名证书的方式,发现Filedownload 无法下载文件,报错:javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found. ...
node.js请求HTTPS报错:UNABLE_TO_VERIFY_LEAF_SIGNATURE\的解决方法
11-28
发现错误 最近在用Nodejs发送https请求时候,出现\”Error: UNABLE_TO_VERIFY_LEAF_SIGNATURE\”的错误,错误如下: events.js:72 throw er; // Unhandled \'error\' event ^ Error: UNABLE_TO_VERIFY_LEAF_SIGNATURE at SecurePair. (tls.js:1381:32) at SecurePair.emit (events.js:92:17) at SecurePair.maybeInitFinished (tls.js:980:10) at Clear
使用openssl验证https配置的ssl证书是否可以正常访问
最新发布
liaomingwu的专栏
10-27 1900
openssl可以用于和服务器端建立ssl连接,并且输出相关信息,通过相关信息,可以看出建立连接的过程是否正常。当使用应用系统的客户端通过https访问服务器的时候,总是出现报错,又找到错误原因的时候,可以使用openssl模拟客户端请求,建立ssl连接并输出相关信息来查找失败原因。
python Tornado https openssl SSL Error: Unable to verify the first certificate
走错路的程序员
09-07 4436
前几天用 Tornado 框架写了一个服务, 微信小程序需要去连接它. http很简单 但是微信小程序强制要求用到https 悲剧就开始了. https 证书是从阿里云上下载下来的, crt证书 我的证书是从阿里云下载的免费证书, Tornado 支持的好像是apache的证书 crt结尾的. 理论上证书应该没什么问题. 搞上去以后发现用浏览器去访问的时候 https能正常访问的但是postman和微信小程序开发工具支持. 我的错误代码如下 #完整打分流程V2 import os import os.
SSL Error: Unable to verify the first certificate(已解决)
weixin_43650943的博客
12-30 2万+
记录一次解决的由ssl证书带来的问题,以及解决历程。 问题的产生的原因是这样的,客户想给项目迁移服务器。也是按照之前服务器的配置方式,tomcat、jdk、nginx、maven等等也是用过 scp命令进行同步的,因为用scp命令能保证 文件的权限也会变。客户这面也提供了 https的ssl证书,一切都准备就绪了,部署完也都可以正常访问。看起来一切都是那么顺利。 紧接着就是跟 项目的第三方百世仓进行测试联调,结果出现了问题,百世仓通过https访问我们服务器的接口出现了超时的情况,于是我自己用postma
SSL Error: Unable to verify the first certificate
Think88666的博客
01-12 8924
背景: 客户端程序向后台接口(使用的https)发起get或者post请求,都会报错,但通过网站访问又没有问题,经反复测试发现是ssl证书认证失败,postman忽略ssl证书验证可以访问成功,开启证书校验则会访问失败。 解决方案: 可以通过修改客户端,关闭其证书验证功能即可,但是由于客户端已经给客户了,故只能修改服务器,解决办法:将ssl的cer文件修改成pem,需要通过openssl来处理,只需要将cer后缀改成pem就行,至此问题解决。 解决办法参考下文: https://blog.cs
解决Error: unable to verify the first certificate报错
热门推荐
一条吃软饭的软狗
02-27 8万+
1 问题 在使用npm install或cnpm install的时候,出现以下报错 Error: unable to verify the first certificate 2 原因 2017年2月27日,npm再支持自签名证书。 npm install走的是https协议,需要通过数字证书来保证的 3 解决方法 ① 取消ssl验证:npm config set strict-s...
centos8之openssl配置
方窗
10-18 1万+
centos8当中的openssl默认配置需要做调整,否则一些用了ssl的工具在访问旧服务器时会出现一些问题。 我遇到的情况是svn检出旧服务器上的项目时出现了异常(访问新服务器正常): [root@localhost projects]# svn co https://serverip/svn/Linux/hmihmi svn: E170013: Unable to connect to...
my cloud test bed (by quqi99)
技术并艺术着
03-10 1894
若容器里如果上了网,如无法访问api.snapcraft.io,是因为lxd容易默认使用了eth1上的dns=10.10.10.1,下面的配置可让eth0, eth1, eth2都默认使用dns=192.168.99.1来避免特色网络对api.snapcraft.io的污染。下列netplan配置创建了br-eth0,也让br-eth0支持wol通过魔术包唤醒,也创建了一个没有dhcp的br-maas用于maas实验。
openssl 命令手册
小田的笔记簿
02-26 1649
openssl 命令手册 文章目录openssl 命令手册CACIPHERSCRLCRL2PKCS7DGSTDSADSAPARAMECECPARAMENCERRSTRGENDSAGENPKEYGENRSANSEQOCSPPASSWDPKCS7PKCS8PKCS12PKEYPKEYPARAMPKEYUTLPRIMERANDREQRSAUTLS_CLIENTSESS_IDSMIMESPEEDSPKAC...
Changelog 是一种用于跟踪软件项目更改历史的重要文档,它记录了每一次版本更新的主要变化
BLOG域名:programb.blog.csdn.net
04-24 1797
自动化生成 Changelog 可以通过结合 Git(版本控制系统)和 Bash 脚本实现,因为Git的历史记录包含了每次提交的详细信息,如作者、日期、提交消息。具体步骤可能包括设置脚本来定期运行,扫描最近的Git提交,分析提交消息中的关键词或标签,然后按照预定义的模板生成新的或更新Changelog条目。Changelog 是一种用于跟踪软件项目更改历史的重要文档,它记录了每一次版本更新的主要变化,如添加的新特性、修复的问题以及可能导致向后兼容性问题的变更。:新版本的名称或编号,如v1.2.0或1.3。
微信开发者工具报这个错:Error: unable to verify the firstcertificate,怎么解决
Ddd_victory的博客
06-12 3760
微信开发者工具报这个错:Error: unable to verify the firstcertificate,怎么解决
使用postman时,报错SSL Error: Unable to verify the first certificate
流氓兔的博客
08-12 2万+
报错信息 SSL Error: Unable to verify the first certificate 报错截图如下 调用https请求时,确认过各项数据都正确,但是一直报错,无法请求后端 解决办法 File - Settings -> SSL certification verification 关闭 找到图中配置,这里默认是打开状态,把它关闭即可:ON -> OFF 再次发送请求就成功了。 说明 这个配置代表着https请求,需要ssl证书的验证,因为没有配置证书文件,所以报错
[postman] SSL Error: Unable to verify the first certificate(已解决)
sunmengting0123的博客
01-12 4212
紧接着就是跟 项目的第三方百世仓进行测试联调,结果出现了问题,百世仓通过https访问我们服务器的接口出现了超时的情况,于是我自己用postman进行测试,结果发现接口是可以请求通的,就断定是自己的问题,毕竟工具都能访问通,百世仓请求过来就是他们的问题喽,于是就配合他们调试,然后就通过nginx的日志发现,根本就没有收到来自于百世仓的请求,然后百世仓换成了http请求,服务器返回了301,因为客户要求必须使用https来进行访问,所以只能通过nginx 来处理,拦截到http给转成https,如图。
node superagent ssl证书验证问题 报错unable to verify the first certificate
weixin_45999514的博客
06-17 1647
node使用superagent库,请求时报错unable to verify the first certificate。表示客户端无法验证服务器提供的SSL证书链中的第一个证书。然后再进行请求即可解决。
Error: unable to verify the first certificate
BetterWorld的专栏
08-20 1978
明明已经设置了诸多选项,还是报Error: unable to verify the first certificate $ yarn config list yarn config v1.22.4 info yarn config { 'version-tag-prefix': 'v', 'version-git-tag': true, 'version-commit-hooks': true, 'version-git-sign': false, 'version-git-mes
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

weixin_40455124

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值