centso7 openssl 报错Verify return code: 20 (unable to get local issuer certificate)

已于 2024-01-11 11:05:23 修改
阅读量4.1k 收藏 5
点赞数 6
分类专栏: .net core 服务器 文章标签: 大数据 openssl TLS
于 2022-07-04 21:26:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunxiaobaobei/article/details/125608720
版权
本文记录了解决CentOS7环境下因OpenSSL版本升级而导致的本地证书加载失败问题的过程。通过对线上环境与本地环境的对比分析,最终定位到证书路径配置缺失,并给出了具体的修复步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题重现: 

        由于centos7 默认的openssl的版本为1.1.0k,本人编译媒体服务时,需要openssl版本1.1.1以上,所有删除的之前的低版本openssl,手动编译了一个1.1.1k的版本,媒体服务正常运行,并且CA验证正常。

        结果昨天晚上服务器断电重启后,当我在获取电信MQ数据时,openssl一直报错,Unhandled exception. System.Security.Authentication.AuthenticationException:The remote certificate was rejected by the provided RemoteCertificateValidat

使用openssl的命令测试连接状态:

openssl s_client -connect msgpush.ctwing.cn:16651

得到以下结果:

        

 提示,无法加载本地证书。使用了各种方案,编译各种版本的openssl,还是不行。

百般无奈下,只能分析线上环境的openssl(线上为云服务器,openssl为1.02K)与本地服务器的openssl的区别,又经历了痛苦的几个小时。终于在查看openssl 版本的命令中,看出了端倪,这个命令很重要:

openssl version -d

        线上打印的结果:

        

 本地服务器的结果:

 进入线上环境openssl 的目录:执行命令

ll

显示结果:

关键点就这个目录,看我标红的部分,这里的软链接就是证书的位置

我们再来看,本地服务器

 可以看到,并没有看到证书的软链接,

所以一切的原因就是这里,没有告诉系统openssl使用的证书位置。所以我们创建一个软链接即可。

ln -s /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem cert.pem
 

执行结果如下:

当我们再次使用openssl的测试命令时:成功了,

场景2:

通过上面流程执行后发现依然验证失败。

使用命令

 openssl verify cert.pem

提示无法加载文件,找不到指定的文件。

首先我们看我们openssl的安装路径是不是在/usr/local/lib64 目录下,经过查看无此文件夹,文件被安装到了/usr/local/lib 目录下,这里我们首先需要将ld.so.cnf中的路径修改为/usr/local/lib 

再次使用命令验证依旧失败,无法加载证书

经过比对,使用tls-ca-bundle.pem 文件为空,这里可能生成证书的时候配置有问题

我们将其他服务器受信任的证书拷贝一份过来,验证成功。

其他命令

openssl version -a

基于net 5.0在centos 7上提示ssl握手失败的解决方案

修改文件  /etc/ssl/openssl.cnf

# Add this in the head of the file
openssl_conf = openssl_init

#
# skip
#

# And the following in the end of the file
[openssl_init]
ssl_conf = ssl_config

[ssl_config]
system_default = tls_defaults

[tls_defaults]
CipherString = @SECLEVEL=2:kEECDH:kRSA:kEDH:kPSK:kDHEPSK:kECDHEPSK:-aDSS:-3DES:!DES:!RC4:!RC2:!IDEA:-SEED:!eNULL:!aNULL:!MD5:-SHA384:-CAMELLIA:-ARIA:-AESCCM8
Ciphersuites = TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_128_CCM_SHA256
MinProtocol = TLSv1.2

问题链接:

.net 核心 - 互操作加密 OpenSslCryptographic异常:错误:14094410:SSL 例程:ssl3_read_bytes:sslv3 警报握手失败 - 堆栈溢出 (stackoverflow.com)

解决无法加载本地证书的参考文章:

How to Fix Unable to get Local Issuer Certificate - howtouselinux

SSL certificate problem: unable to get local issuer certificate【鸿蒙报错已解决】
一键难忘的博客
05-01 4255
SSL certificate problem: unable to get local issuer certificate【鸿蒙报错已解决】最近也是遇到了这个问题,看到网上也有人在询问这个问题,本文总结了自己和其他人的解决经验,解决了【SSL certificate problem: unable to get local issuer certificate】的问题。导入Sample时,导入失败,提示“SSL certificate problem: unable to get local issue
《Python基础教程》内容总览篇(持续更新中)
热门推荐
weixin_43178406的博客
08-26 29万+
大家好,我是爱编程的喵喵。双985硕士毕业,现担任全栈工程师一职,热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。现为CSDN博客专家、人工智能领域优质创作者。喜欢通过博客创作的方式对所学的知识进行总结与归纳,不仅形成深入且独到的理解,而且能够帮助新手快速入门。个人精心开设的《Python基础课程》专栏订阅量接近900,帮助不少同学解决了Bug。
java找不到根证书和中间证书,在Java cacerts中导入根证书和中间证书的正确方法...
weixin_42364551的博客
02-24 457
My company has its own ROOT certificate. Using this certificate they signed intermediate certificate.Then we issued CSR for server certificate and signed it with intermediate certificate.What is a cor...
解决:git SSL certificate problem: unable to get local issuer certificate
Demon_and_anger的博客
03-11 472
问题描述:执行命令的时候,出现“SSL certificate problem:* * * ”报错,一般在执行“git push”(推送分支)或者“git clone”(克隆仓库)时出现。原因是因为SSL安全验证问题,不能获取到本地的证书。2.验证:执行命令 “git config --global --list”,“http.sslverify = false”表示成功。3.解决完毕:可以正常执行“git push”(推送分支)或者“git clone”(克隆仓库)啦!
apns verify error:num=20:unable to get local issuer
ttomqq的专栏
10-15 3848
在给新产品加推送功能的时候,公司的服务器小伙子告诉我,在测试服务器和APN连接的时候遇到了verify error:num=20:unable to get local issuer certificate错误,说缺少系统的根证书,当时我就纳闷,我MAC下自己写的PHP测试服务器用的好好的,pem和p12证书也都扔给他了,怎么他那边会不行呢,而且网上关于推送的说法里,没有提到任何制作根证书的信息。
如何处理Unable to get Local Issuer Certificate
nb1253587023的博客
07-25 1万+
Unable to get Local Issuer Certificate"错误通常在使用Python的requests或urllib等库进行HTTPS请求时出现,它表示在进行SSL证书验证时未找到本地证书颁发者。这种情况可能发生在服务器证书链上的某个中间证书或根证书不在本地系统的CA(Certificate Authority)证书库中。请注意,忽略证书验证或使用自定义CA证书都是暂时解决方案,不推荐在生产环境中长期使用。在生产环境中,请确保服务器证书的合法性和正确性,并正确配置SSL证书验证。
PHP CURL GET HTTPS报错SSL certificate problem: unable to get local issuer certificate
小龙在线
12-15 2万+
请求HTTP 使用php curl获取http资源,不会报错。 如下: <?php // 创建curl资源 $ch = curl_init(); // 设置url curl_setopt($ch, CURLOPT_URL, "baidu.com"); // 将Transfer作为字符串返回 curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); // 执...
certificate verify failed: unable to get local issuer certificate (_ssl.c:10
计算机辅助工程
01-03 2401
出现 “certificate verify failed: unable to get local issuer certificate (_ssl.c:10)” 这个错误通常是因为Python在尝试建立HTTPS连接时,无法验证服务器的SSL证书。这可能是因为本地系统中缺少必要的根证书,或者服务器的证书链不完整,导致Python无法找到颁发服务器证书的CA(证书颁发机构)的根证书。以下是一些解决这个问题的步骤:确认错误来源。
pip安装包报错unable to get local issuer certificate
吴国凯的博客
03-29 4646
pip install xxx时报错 [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate 报错信息如下 pip3 install pytrec_eval Looking in indexes: https://pypi.tuna.tsinghua.edu.cn/simple Collecting pytrec_eval Using cached .
Verify return code: 20 (unable to get local issuer certificate)
04-26
好的,我现在要帮用户解决OpenSSL错误代码20的问题,也就是“unable to get local issuer certificate”。首先,我需要回忆一下这个错误的常见原因和解决办法。 用户提到他们遇到了SSL证书验证问题,错误代码20,这...
欧拉服务器提示Verify return code: 20 (unable to get local issuer certificate)
最新发布
04-26
在欧拉(EulerOS)服务器上出现`Verify return code: 20 (unable to get local issuer certificate)`错误,表明系统无法定位证书颁发机构(CA)的根证书或中间证书。以下是针对欧拉系统的完整解决方案: --- #### ...
openssl unable to get local issuer certificate
08-09
- *3* [centso7 openssl 报错Verify return code: 20 (unable to get local issuer certificate)](https://blog.csdn.net/yunxiaobaobei/article/details/125608720)[target="_blank" data-report-click={"spm":...
Git出现SSL certificate problem: unable to get local issuer certificate
漫天雪_昆仑巅
01-10 5万+
使用Git进行Clone或者Pull程序的时候会提示,   SSL certificate problem: unable to get local issuer certificate   这个是由于Git默认开启了SSL验证,关闭即可; 解决方式: git config --global http.sslVerify false 执行以上git命令,关闭ssl验证。...
解决 SSL certificate problem: unable to get local issuer certificate 的问题
qq_40569163的博客
09-19 6031
php文件下的路径,记得修改自己对应的位置。2、找到php.ini的文件位置。3、将下载好的文件放到相应的位置。4、修改php.ini。修改成自己对应的位置。
Python3爬虫SSL:unable to get local issuer certificate (_ssl.c:1045)
zhangvalue的博客
04-09 2万+
当使用urllib.urlopen打开一个 https 链接时,会验证一次 SSL 证书。而当目标网站使用的是自签名的证书时就会抛出如下异常: urllib.error.URLError: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issue...
关于使用 git 命令行时遇到的错误消息 unable to get local issuer certificate
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
10-08 9745
当本地计算机的 SSL 证书无法验证时,Git 无法完成与托管存储库的服务器的 HTTPS 握手。另一种可能的原因是由于系统上的 Git 配置不正确,或者在 Visual Studio Code (VS Code) 终端中使用 git 时的配置不正确。是开发人员在尝试使用特定于 Windows 的命令行工具 Git Bash 推送、拉取或克隆 git 存储库时面临的常见问题。是由本地计算机上的 SSL 证书配置错误引起的。当自签名证书导致出现 ssl 证书问题时,解决方法是将证书添加到受信任的证书存储(
出现SSL certificate problem: unable to get local issuer certificate 解决方法
lxw1844912514的博客
03-02 2万+
解决方法 一、 出错原因 错误提示:SSL certificate problem: unable to get local issuer certificate 是在使用 curl 时出错, 意思是“SSL证书问题:无法获取本地颁发者证书” 二、 解决办法 有两种方式: 2-1) 检查你安装的证书路径 看下跟你 curl 中使用的是否一致 2-2) curl 取消 ssl 检查 如果你没有证书, 可以在 curl 相关代码中添加下面的代码 curl_setopt($ch,CURLOPT_S.
unable to get local issuer certificate
qq_36342182的博客
09-18 3万+
unable to get local issuer certificate 使用git初始化一个项目时,尤其是通过git submodule update --init --remote初始化子模块时,可能会遇到下面这个错误: SSL certificate problem: unable to get local issuer certificate 这是由于当你通过HTTPS访问Git远程仓库的时候,如果服务器上的SSL证书未经过第三方机构认证,git就会报错。原因是因为未知的没有签署过的证书
SSL:unable to get local issuer certificate
Hiking_Yu的专栏
01-08 744
python3打开一个 https 链接时,会验证一次 SSL 证书。而当目标网站使用的是自签名的证书时就会抛出如下异常: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1056) 解决方法:全局取消证书验证 import ssl ...
openssl如何改变版本
06-12
要改变 OpenSSL 的版本,您需要使用 OpenSSL 命令行工具中的 s_client 子命令。具体步骤如下: 1. 打开终端或命令提示符窗口,输入以下命令并按回车键: ``` openssl s_client -connect <hostname>:<port> ``` 其中,<hostname> 是您要连接的主机名,<port> 是要连接的端口号。 2. 如果连接成功,您将看到一段 SSL 握手信息,其中包括 OpenSSL 的版本号。例如: ``` CONNECTED(00000003) depth=0 CN = www.example.com verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 CN = www.example.com verify error:num=21:unable to verify the first certificate verify return:1 --- Certificate chain 0 s:/CN=www.example.com i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 --- Server certificate ... SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384 ... Start Time: 1624261470 Timeout : 7200 (sec) Verify return code: 21 (unable to verify the first certificate) Extended master secret: yes ``` 在 SSL-Session 部分,您可以看到 Protocol 字段,它指示了当前使用的 SSL/TLS 协议版本,例如 TLSv1.2。 3. 要改变协议版本,您需要使用 -tls1、-tls1_1、-tls1_2 或 -tls1_3 参数来指定所需的版本。例如,要使用 TLS 1.3,您可以输入以下命令: ``` openssl s_client -connect <hostname>:<port> -tls1_3 ``` 然后,您将看到 SSL-Session 中的 Protocol 字段已经更改为 TLSv1.3。 注意,您需要确保服务器也支持所需的协议版本,否则连接将失败。同时,由于 OpenSSL 的版本可能会影响您的应用程序安全性,建议谨慎更改 OpenSSL 版本,仅在必要时使用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

破浪征程

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值