linux ssl 验证失败的原因分析和解决办法

最新推荐文章于 2024-06-01 08:48:10 发布
最新推荐文章于 2024-06-01 08:48:10 发布
阅读量2.1w 收藏 7
点赞数 3
分类专栏: linux

当你在linux通过 https 协议访问资源出现 The certificate has not yet been activated 或者类似的 certificate 验证失败的问题时。

请淡定,不要随意的改变软件设置绕开 ssl 的验证比如在wget 中加上 –no-check-certificate 参数。这样会对系统的安全性造成影响,后果会很严重。

分析此问题的原因,肯定出在证书验证的阶段,下面有一个解决此问题的方法。

linux 上的开源软件一般会使用 openssl 来做 ssl 验证,所以我们用这个工具来解决 https 验证不通过的问题。

首先,用 openssl 获取站点的证书.
openssl s_client -showcerts -connect github.com:443

返回结果如下:
[code lang=”bash”]
CONNECTED(00000003)
depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 Extended Validation Server CA
verify error:num=20:unable to get local issuer certificate
verify return:0

Certificate chain
0 s:/businessCategory=Private Organization/1.3.6.1.4.1.311.60.2.1.3=US/1.3.6.1.4.1.311.60.2.1.2=Delaware/serialNumber=5157550/street=548 4th Street/postalCode=94107/C=US/ST=California/L=San Francisco/O=GitHub, Inc./CN=github.com
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 Extended Validation Server CA
—–BEGIN CERTIFICATE—–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—–END CERTIFICATE—–
1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 Extended Validation Server CA
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
—–BEGIN CERTIFICATE—–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—–END CERTIFICATE—–

Server certificate
subject=/businessCategory=Private Organization/1.3.6.1.4.1.311.60.2.1.3=US/1.3.6.1.4.1.311.60.2.1.2=Delaware/serialNumber=5157550/street=548 4th Street/postalCode=94107/C=US/ST=California/L=San Francisco/O=GitHub, Inc./CN=github.com
issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 Extended Validation Server CA

No client certificate CA names sent

SSL handshake has read 3233 bytes and written 446 bytes

New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES128-GCM-SHA256
Session-ID: 2D644C1675D1A3273104B2EA736037A18314FBD228D700669B8A64EBB09EF710
Session-ID-ctx:
Master-Key: 792ABBD9CB1ACC81DD1104005B4B93E2AFA716D7BB9AF73B7AAE2D80CCC64C313D7B6F927CFD2395B3B335D4DADFCFA7
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1398835818
Timeout : 300 (sec)
Verify return code: 20 (unable to get local issuer certificate)

[/code]

将 —–BEGIN CERTIFICATE—– 和 —–END CERTIFICATE—– 之间,包含这两个标签的内容复制下来,保存成 github.pem 文件。

然后用 openssl 验证
openssl verify github.pem
github: OK

出现OK,说明验证通过。

然后将该文件复制到/etc/ssl/certs/ 路径下。
再试试你的git 或者 wget 来访问该站点的数据,就没有验证失败的提示了。

这个办法只是解决了验证失败的问题,但并不一定真正的验证失败的原因。

这个原因有很多可能性,我最近所碰到的这个问题,在和VPS 技术人员交流了3天之后,他们终于找到真正的原因:VPS 提供商在新开的节点上忘了给机器设置时间,导致证书过期引起验证不通过。

总结:
说了这么多,其实找到解决问题的方法,并不一定就是问题的原因,治标不治本,需要治本,还需要彻底完整的进行分析才行。

参考文章:
test-ssl-certificates-diagnosis-ssl-certificate
verify-ssl-certificate-openssl

xinghun_4
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SSLError:certificate verify failed错误
YP~杨小西
04-21 1326
我使用pip install --upgrade pip 一直会报上面的错误,开始是配置了anaconda中的配置conda config --show可以查看配置的镜像; 在这个里面我都配置了清华源,但是在更新pip一直报错,证书验证失败,后面我又修改了pip的源才可以使用---以此记录 anaconda配置镜像 Mac and Linux:这个可以根据清华源提供的帮助文档来配置 ...
linux curl证书错误,curl – SSL证书错误
weixin_35517357的博客
05-13 1126
我正在使用key,ca,cert in options测试对本地节点服务器的SSL访问(自签名w OpenSSL)var server_options = {key: fs.readFileSync('/etc/ssl/self-signed/server.key'),ca: fs.readFileSync('/etc/ssl/self-signed/server.csr'),cert: fs.r...
centso7 openssl 报错Verify return code: 20 (unable to get local issuer certificate)
yunxiaobaobei的博客
07-04 2901
openssl ca证书验证失败解决方案
linux访问https命令,SSL安全证书常见问题_Linux中使用curl命令访问https站点错误和解决方法 - 帮助文档 - 亿速云...
weixin_39955233的博客
04-29 1266
Linux中使用curl命令访问https站点错误和解决方法1、Peer’s Certificate issuer is not recognized代码如下:[root@jiankong ~]# curl -v https://wx.87th.cn- -CAfile: /etc/pki/tls/certs/ca-bundle.crtCApath: nonePeer's certificate...
wget无法建立 SSL 连接
最新发布
weixin_44416039的博客
06-01 147
添加--no-check-certificate参数跳过验证
linux dns验证失败,申请SSL证书审核失败原因和解决方法(DNS验证篇)
weixin_39869693的博客
05-13 642
原标题:申请SSL证书审核失败原因和解决方法(DNS验证篇)如果用户在提交SSL证书审核时使用DNS验证方式进行验证,检查配置时可能会收到未检测到DNS配置内容的返回结果。这种情况下的数字证书审核申请失败是由多个原因造成的。为了更清晰失败原因,建议使用以下方式查询DNS解析记录值,分析您的域名验证字符串输出信息,确保已正确配置了DNS解析记录。Windows:使用nslookup 命令查询域名...
linux 查tls模块,小编分享:Linux服务器TLS证书故障解决方法
weixin_35285401的博客
05-13 390
我刚刚在某媒体数据中心的IT治理频道看到,关于Linux服务器TLS证书故障解决方法,分享给各位同学。许多Linux服务器都使用TLS证书,但是它们的工作方式不尽相同。证书问题不总是容易发现,假设你想要登陆一台LDAP服务器,在没有通知任何错误的情况下连接超时。也许你会认为这是用户账户出了问题,但常常与证书相关。Linux管理员在使用不同方式部署TLS证书方面很头疼。不好的证书会引发问题,解决问题...
linux】centos7下使用wget命令出现 无法验证颁发的证书。
wjx_jasin的博客
09-07 3909
出现如下提示: 解决办法在地址后加上 --no-check-certificate //例如 wget https://nginx.org/download/nginx-1.9.9.tar.gz --no-check-certificate
[Trouble Shooting] 解决requests模块使用过程中遇到 certificate verify failed 错误
FinixLei的专栏 (https://github.com/FinixLei)
04-17 5456
写了一个小程序,简单测试一个基于HTTPBasicAuthorization的REST API,解决其中遇到的证书错误问题
Qt WIndwos和Linux下的SSL文件
05-11
如果遇到SSL验证失败,可能是由于证书链不完整,或者证书与服务器的域名不匹配等原因。这时,需要检查并修正证书配置,或者在必要时调整QSslSocket的验证策略。 总而言之,Qt在Windows和Linux环境下处理SSL文件是...
ssl加密协议通信.rar_SSL安全通信_client server_linux c ssl_linux ssl_认证
09-19
在编写客户端和服务端程序时,需要处理各种错误情况,例如证书验证失败、网络中断等。同时,为了提高安全性,还需要关注最新的安全标准和最佳实践,例如定期更新证书、启用HSTS(HTTP Strict Transport Security)等...
linux网络编程之SSL
06-18
10. **调试与日志**:在开发和维护过程中,启用SSL调试模式和日志记录可以帮助识别和解决问题。例如,`SSL_set_debug()`函数可以开启SSL库的调试输出。 通过理解以上知识点,开发者可以在Linux环境中编写出安全可靠...
demo_openssl_api.tar.gz_DEMO_OPENSSL DEMO_SSL实现_linux openssl_li
09-23
5. **错误处理**:在使用OpenSSL API的过程中,可能会遇到各种错误,如证书验证失败、网络中断等。因此,错误处理机制是必不可少的,通过SSL_get_error函数可以获取错误代码,从而采取相应的处理措施。 通过DEMO_...
解决SQLServer远程连接失败的问题
12-15
要解决这个问题,首先需要检查SqlServer 的几项设置。(这些设置一般都是系统默认项,不过最好看一下) (一)检查SQL Server是否允许远程链接。以SqlServer 身份验证方式登陆。登录账户sa (二)打开配置管理器,...
cURL error 60: SSL certificate problem: unable to get local issuer certifica解决方案
希望我的博客,能帮上你解决学习中工作中所遇到的问题,也期待与您一起探讨技术问题,共同成长。
09-07 1390
cURL error 60: SSL certificate problem: unable to get local issuer certifica解决方案
Linux安全之SSL基础
mengmeng_921的博客
09-28 1189
SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS 与 SSL 在传输层与应用层之间对网络连接进行加密。Linux安全之SSL基础。
wget下载jenkins安装包的时候,遇到了不信任证书的问题
weixin_49244483的博客
04-10 854
wget下载jenkins安装包的时候,遇到了不信任证书的问题,错误提示如下。方法一:安装证书软件(网友成功了,我没有成功)方法二:加一个不检验证书的选项进行下载安装包。
cURL error 60: SSL certificate problem: unable to get local issuer certifica 解决
热门推荐
wgchen
11-03 3万+
无法获取本地颁发者证书Windows版本linux版本解决方案cURL error 60: SSL certificate problem: unable to get local issuer certifica 解决Laravel 使用GuzzleHttp请求第三方https接口报错获取 headerswindows 清晰版本 Windows版本 1.到 https://curl.haxx.se/ca/cacert.pem 下载证书文件 cacert.pem,将其保存到 PHP 安装路径下。 2.编辑
解决linux 不能访问 https 网站
li12412414的博客
01-19 3369
解决linux 不能访问 https 网站的问题。
linux 解决 javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX 路径构建失败
01-24
Linux上解决`javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX路径构建失败`的问题,可以按照以下步骤进行操作: 1. 首先,确保你已经安装了Java Development Kit(JDK)和Java Runtime Environment(JRE)。你可以使用以下命令检查Java的版本: ```shell java -version ``` 2. 如果你的Java版本较旧,建议升级到最新版本。你可以从Oracle官方网站下载并安装最新的JDK。 3. 如果你遇到SSL证书验证问题,可以使用`keytool`命令导入缺失的证书。首先,你需要下载`InstallCert.java`文件,该文件可以从以下链接获取:https://github.com/escline/InstallCert/blob/master/InstallCert.java 4. 使用以下命令编译`InstallCert.java`文件: ```shell javac InstallCert.java ``` 5. 运行`InstallCert`程序,并指定出错站点的URL(不包括https://): ```shell java InstallCert <出错站点的URL> ``` 6. 程序将会列出站点的证书信息,并提示你输入一个数字来接受证书。输入对应数字后,程序将会下载证书并将其添加到Java的信任库中。 7. 重启你的应用程序,然后再次尝试连接出错的站点,应该不再出现`javax.net.ssl.SSLHandshakeException`错误。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值