centso7 openssl 报错Verify return code: 20 (unable to get local issuer certificate)

已于 2024-01-11 11:05:23 修改
阅读量2.7k 收藏 4
点赞数 4
分类专栏: .net core 服务器 文章标签: 大数据 openssl TLS
于 2022-07-04 21:26:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunxiaobaobei/article/details/125608720
版权

问题重现: 

        由于centos7 默认的openssl的版本为1.1.0k,本人编译媒体服务时,需要openssl版本1.1.1以上,所有删除的之前的低版本openssl,手动编译了一个1.1.1k的版本,媒体服务正常运行,并且CA验证正常。

        结果昨天晚上服务器断电重启后,当我在获取电信MQ数据时,openssl一直报错,Unhandled exception. System.Security.Authentication.AuthenticationException:The remote certificate was rejected by the provided RemoteCertificateValidat

使用openssl的命令测试连接状态:

openssl s_client -connect msgpush.ctwing.cn:16651

得到以下结果:

        

 提示,无法加载本地证书。使用了各种方案,编译各种版本的openssl,还是不行。

百般无奈下,只能分析线上环境的openssl(线上为云服务器,openssl为1.02K)与本地服务器的openssl的区别,又经历了痛苦的几个小时。终于在查看openssl 版本的命令中,看出了端倪,这个命令很重要:

openssl version -d

        线上打印的结果:

        

 本地服务器的结果:

 进入线上环境openssl 的目录:执行命令

ll

显示结果:

关键点就这个目录,看我标红的部分,这里的软链接就是证书的位置

我们再来看,本地服务器

 可以看到,并没有看到证书的软链接,

所以一切的原因就是这里,没有告诉系统openssl使用的证书位置。所以我们创建一个软链接即可。

ln -s /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem cert.pem
 

执行结果如下:

当我们再次使用openssl的测试命令时:成功了,

场景2:

通过上面流程执行后发现依然验证失败。

使用命令

 openssl verify cert.pem

提示无法加载文件,找不到指定的文件。

首先我们看我们openssl的安装路径是不是在/usr/local/lib64 目录下,经过查看无此文件夹,文件被安装到了/usr/local/lib 目录下,这里我们首先需要将ld.so.cnf中的路径修改为/usr/local/lib 

再次使用命令验证依旧失败,无法加载证书

经过比对,使用tls-ca-bundle.pem 文件为空,这里可能生成证书的时候配置有问题

我们将其他服务器受信任的证书拷贝一份过来,验证成功。

其他命令

openssl version -a

基于net 5.0在centos 7上提示ssl握手失败的解决方案

修改文件  /etc/ssl/openssl.cnf

# Add this in the head of the file
openssl_conf = openssl_init

#
# skip
#

# And the following in the end of the file
[openssl_init]
ssl_conf = ssl_config

[ssl_config]
system_default = tls_defaults

[tls_defaults]
CipherString = @SECLEVEL=2:kEECDH:kRSA:kEDH:kPSK:kDHEPSK:kECDHEPSK:-aDSS:-3DES:!DES:!RC4:!RC2:!IDEA:-SEED:!eNULL:!aNULL:!MD5:-SHA384:-CAMELLIA:-ARIA:-AESCCM8
Ciphersuites = TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256
MinProtocol = TLSv1.2

问题链接:

.net 核心 - 互操作加密 OpenSslCryptographic异常:错误:14094410:SSL 例程:ssl3_read_bytes:sslv3 警报握手失败 - 堆栈溢出 (stackoverflow.com)

解决无法加载本地证书的参考文章:

How to Fix Unable to get Local Issuer Certificate - howtouselinux

破浪征程
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
解决:git SSL certificate problem: unable to get local issuer certificate
会写Bug的攻城狮
05-17 443
错误: git SSL certificate problem: unable to get local issuer certificate。这个问题是由于没有配置信任的服务器HTTPS验证。默认,cURL被设为不信任任何CAs,就是说,它不信任任何服务器验证。
linux php开启openssl拓展报错时候替换本机的openssl文件夹
01-29
出现以下报错,替换/usr/local/include/openssl里面的文件之后编译成功。add_assoc_name_entry’:/data/src/php-5.6.23/ext/openssl/openssl.c:664: warning: ‘ASN1_STRING_data’ is deprecated (declared at /usr...
Python打开https链接报错unable to get local issuer certificate
wjx141的博客
03-23 5527
问题描述: 当使用urllib.urlopen打开一个 https 链接时抛出如下异常: urllib.error.URLError: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1076)> 原因: 本地证书不存在。 解决方法: 1、查看默认证书位置 import ssl prin
如何处理Unable to get Local Issuer Certificate
nb1253587023的博客
07-25 8069
Unable to get Local Issuer Certificate"错误通常在使用Python的requests或urllib等库进行HTTPS请求时出现,它表示在进行SSL证书验证时未找到本地证书颁发者。这种情况可能发生在服务器证书链上的某个中间证书或根证书不在本地系统的CA(Certificate Authority)证书库中。请注意,忽略证书验证或使用自定义CA证书都是暂时解决方案,不推荐在生产环境中长期使用。在生产环境中,请确保服务器证书的合法性和正确性,并正确配置SSL证书验证。
apns verify error:num=20:unable to get local issuer
ttomqq的专栏
10-15 3647
在给新产品加推送功能的时候,公司的服务器小伙子告诉我,在测试服务器和APN连接的时候遇到了verify error:num=20:unable to get local issuer certificate错误,说缺少系统的根证书,当时我就纳闷,我MAC下自己写的PHP测试服务器用的好好的,pem和p12证书也都扔给他了,怎么他那边会不行呢,而且网上关于推送的说法里,没有提到任何制作根证书的信息。
linux ssl 验证失败的原因分析和解决办法
xinghun_4的专栏
01-11 2万+
当你在linux通过 https 协议访问资源出现 The certificate has not yet been activated 或者类似的 certificate 验证失败的问题时。 请淡定,不要随意的改变软件设置绕开 ssl 的验证比如在wget 中加上 –no-check-certificate 参数。这样会对系统的安全性造成影响,后果会很严重。 分析此问题的原因,肯定出
openssl 证书验证
swj9099的博客
08-05 6075
本节中我们快速浏览一下证书验证的主干代码。读者可以采用上节中生成的VC工程进行验证。 下面列出关键部分代码,为方便阅读,仅保留与证书验证强相关的代码,去掉了诸如变量定义、错误处理、资源释放等非主要代码,并修改了排版格式。 // 初始入口为 apps\verify.c 中的 MAIN 函数 // 为利于代码阅读,下面尝试将相关代码放在一起(采用函数调用栈的形式,被调用函数的代码排版缩进...
java找不到根证书和中间证书,在Java cacerts中导入根证书和中间证书的正确方法...
weixin_42364551的博客
02-24 371
My company has its own ROOT certificate. Using this certificate they signed intermediate certificate.Then we issued CSR for server certificate and signed it with intermediate certificate.What is a cor...
SSL certificate problem: unable to get local issuer certificate解决办法
qq_51537858的博客
12-24 2万+
这是由于当你通过HTTPS访问Git远程仓库的时候,如果服务器上的SSL证书未经过第三方机构认证,git就会报错。原因是因为未知的没有签署过的证书意味着可能存在很大的风险。在github上用https克隆代码时报了如下错误。然后在执行克隆操作就成功了。
安装vagrant报错OpenSSL SSL_read: SSL_ERROR_SYSCALL, errno 54
01-08
1、报错详情 安装vagrant,在运行vagrant up时,报错 An error occurred while downloading the remote file. The error message, if any, is reproduced below. Please fix this error and try again. OpenSSL SSL_...
delphi7调用openssl修正版
11-29
本主题聚焦于一个这样的案例:如何在Delphi 7环境中有效地调用OpenSSL库,特别是针对RSA加密算法的修正版。Delphi 7是一款经典的Object Pascal集成开发环境,而OpenSSL则是一个强大的开源密码学库,包含了各种安全...
CentOS7离线升级openssl1.1.1w,openssh9.6p1,所需资源包
最新发布
04-08
本主题涉及的是如何在没有网络连接的情况下,对CentOS7系统进行openssl和openssh的重要版本升级。以下是详细的知识点讲解: **CentOS7**: CentOS是Community ENTerprise Operating System的缩写,是一个基于Linux...
openssl-curl-android:编译适用于Android的openssl和curl
05-09
openssl-curl-android 编译适用于Android的openssl和curl先决条件确保您已安装Android NDK 。 您可能还需要安装autoconf和libtool工具链以及构建基础。下载如果您不想自己编译它们,则可以从下载预编译的静态库。 ...
cURL error 60: SSL certificate problem: unable to get local issuer certifica 解决
热门推荐
wgchen
11-03 3万+
无法获取本地颁发者证书Windows版本linux版本解决方案cURL error 60: SSL certificate problem: unable to get local issuer certifica 解决Laravel 使用GuzzleHttp请求第三方https接口报错获取 headerswindows 清晰版本 Windows版本 1.到 https://curl.haxx.se/ca/cacert.pem 下载证书文件 cacert.pem,将其保存到 PHP 安装路径下。 2.编辑
出现SSL certificate problem: unable to get local issuer certificate 解决方法
lxw1844912514的博客
03-02 2万+
解决方法 一、 出错原因 错误提示:SSL certificate problem: unable to get local issuer certificate 是在使用 curl 时出错, 意思是“SSL证书问题:无法获取本地颁发者证书” 二、 解决办法 有两种方式: 2-1) 检查你安装的证书路径 看下跟你 curl 中使用的是否一致 2-2) curl 取消 ssl 检查 如果你没有证书, 可以在 curl 相关代码中添加下面的代码 curl_setopt($ch,CURLOPT_S.
CURL 与证书链问题
DorMOUSENone的博客
05-19 4831
[ffutop@desktop ~] $ curl https://saas.ffutop.com curl: (60) SSL certificate problem: unable to get local issuer certificate More details here: https://curl.haxx.se/docs/sslcerts.html curl failed to verify the legitimacy of the server and therefore could
【nginx】常见问题记录
隐市高手
04-26 3122
nginx学习
openssl验证证书是否由CA证书颁发的问题
weixin_42636055的博客
06-10 2739
lookup: unable to get issuer certificate openssl 使用以上命令验证证书是否由CA签发时,报错如上标题,但可确定目标证书app.crt是由ca.crt所签发的;
php出现SSL certificate problem: unable to get local issuer certificate的解决办法
张子航的博客
09-09 2838
③在php.ini配置文件中,配置curl.cainfo配置项的值 例如 我这里配置为:curl.cainfo =“D:/Visual-NMP-x64/Bin/PHP/php-7.4.13-nts-x64/cacert.pem”如果是直接使用php内置的curl相关函数的话,那么 可以在curl相关代码中添加下面的代码,表示不检查ssl(这种方式一般用于本地调试。②、将文件拷贝到任意目录下,这里我拷贝到了D:/Visual-NMP-x64/Bin/PHP/php-7.4.13-nts-x64目录下。
openssl unable to get local issuer certificate
08-09
回答: 当openssl出现"unable to get local issuer certificate"的错误时,通常是由于缺少本地颁发机构(CA)证书导致的。这个错误表示openssl无法验证服务器证书的颁发机构。一个解决方法是手动安装缺少的CA证书。你可以参考中提到的Composer的问题,它也是由于缺少CA证书导致的。另外,你也可以通过比较线上环境的openssl版本与本地服务器的openssl版本来找出问题所在,如所提到的。确保两个环境的openssl版本一致并且都包含了必要的CA证书。如果需要,你可以从可信任的证书提供商处获取并安装缺少的CA证书。123 #### 引用[.reference_title] - *1* [pip安装包报错unable to get local issuer certificate](https://blog.csdn.net/qq_33542154/article/details/123824774)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* [Composer出现 SSL certificate problem: unable to get local issuer certificate 报错的解决方法](https://blog.csdn.net/ioriliao/article/details/128256768)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [centso7 openssl 报错Verify return code: 20 (unable to get local issuer certificate)](https://blog.csdn.net/yunxiaobaobei/article/details/125608720)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

破浪征程

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值