Curl: невозможно получить сертификат местного эмитента. Как отлаживать?
У меня странная проблема. Обновил мою машину LAMP dev (Debian) до PHP 7. После этого я больше не могу подключаться к конкретному API с шифрованием TLS через Curl.
Данный сертификат SSL подписан thawte.
curl https://example.com
дает мне
curl: (60) SSL certificate problem: unable to get local issuer certificate
, тогда как
curl https://thawte.com
], который, конечно же, также подписан Thawte Works.
Я могу получить доступ к сайту API через HTTPS на других машинах, например, на моем рабочем столе через curl и в браузере. Таким образом, сертификат действителен. Рейтинг SSL Labs - A.
Любые другие запросы Curl от моей машины разработчика к другим сайтам с шифрованием SSL работают. Мои корневые сертификаты обновлены. Чтобы проверить, я запустил update-ca-Certific . Я даже загрузил http://curl.haxx.se/ca/cacert.pem в / etc / ssl / certs и запустил c_rehash .
Все та же ошибка.
Есть ли способ отладить процесс проверки и посмотреть, какой сертификат локального эмитента curl (или openssl) ищет, но не находит, то есть имя файла?
UPDATE
curl -vs https://example.com
сообщает мне (IP + домен анонимный)
* Hostname was NOT found in DNS cache
* Trying 192.0.2.1...
* Connected to example.com (192.0.2.1) port 443 (#0)
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS alert, Server hello (2):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
И
echo | openssl s_client -connect example.com:443
дает
CONNECTED(00000003)
depth=2 C = US, O = "thawte, Inc.", OU = Certification Services Division, OU = "(c) 2006 thawte, Inc. - For authorized use only", CN = thawte Primary Root CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:/C=DE/ST=XYZ/CN=*.example.com
i:/C=US/O=thawte, Inc./CN=thawte SSL CA - G2
1 s:/C=US/O=thawte, Inc./CN=thawte SSL CA - G2
i:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
2 s:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
i:/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
---
Server certificate
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----
subject=/C=DE/ST=XYZ/CN=*.example.com
issuer=/C=US/O=thawte, Inc./CN=thawte SSL CA - G2
---
No client certificate CA names sent
---
SSL handshake has read 4214 bytes and written 421 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: [...]
Session-ID-ctx:
Master-Key: [...]
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
0000 - 5a 95 df 40 2c c9 6b d5-4a 50 75 c5 a3 80 0a 2d Z..@,.k.JPu....-
[...]
00b0 - d5 b9 e8 25 00 c5 c7 da-ce 73 fb f2 c5 46 c4 24 ...%.....s...F.$
Start Time: 1455111516
Timeout : 300 (sec)
Verify return code: 20 (unable to get local issuer certificate)
---
DONE
Использование openssl s_client -connect thawte.com:443 показывает:
---
Certificate chain
0 s:/1.3.6.1.4.1.311.60.2.1.3=US/1.3.6.1.4.1.311.60.2.1.2=Delaware/O=Thawte, Inc./C=US/ST=California/L=Mountain View/businessCategory=Private Organization/serialNumber=3898261/OU=Infrastructure Operations/CN=www.thawte.com
i:/C=US/O=thawte, Inc./CN=thawte Extended Validation SHA256 SSL CA
1 s:/C=US/O=thawte, Inc./CN=thawte Extended Validation SHA256 SSL CA
i:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2008 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA - G3
---
Последний «i» показывает выдающий самозаверяющий корневой центр сертификации. Я предполагаю, что этот конкретный корневой CA Thawte , _i.e. Первичный корневой CA - сертификат G3 не находится в вашем каталоге / etc / ssl / certs (как указано в выходных данных curl ; openssl s_client не имеет пути ЦС по умолчанию, и его необходимо указать явно, например, -CApath /etc/ssl/certs).
Добавление этого сертификата в ваш Каталог / etc / ssl / certs (и повторный запуск c_rehash ), конечно, не повредит. И если это работает, например как проверено с помощью openssl s_client -connect example.com:443 -CApath / etc / ssl / certs , то вы знаете, что для этой команды update-ca-сертификатов может потребоваться некоторая проверка / отладка , относительно того, почему он не получил этот корневой ЦС.
Теперь может оказаться, что указанный выше корневой ЦС уже находится в вашем каталоге / etc / ssl / certs , и вышеупомянутые шаги были нет эффекта. В этом случае необходимо проверить два других сертификата CA (по крайней мере, в цепочке сертификатов, предлагаемой thawte.com:443 ): thawte Primary Root CA и thawte SSL CA - G2 . Повторение вышеуказанных шагов для установки этих сертификатов в каталог / etc / ssl / certs (и повторный запуск c_rehash ) может сработать. Поскольку эти два являются промежуточными центрами сертификации, а не корневыми центрами сертификации, отсутствие одного из них объяснит ваши результаты, и можно ожидать, что update-ca-Certificates будут игнорировать сертификаты.
Надеюсь, это поможет!
Это могло быть вызвано неправильным порядком сайта, выдачи, промежуточного и корневого сертификатов в файле сертификата открытого ключа сайта.
Браузер отображает сертификаты в обратном направлении сверху вниз (корневой, промежуточный , выдача, сайт), но сертификат должен располагаться в направлении снизу вверх (сайт, выдача, промежуточный, корневой).