curl没有跨域的错误码(curl错误unable)

CURL 错误:UNABLE TO VERIFY THE FIRST CERTIFICATE 解决办法

事情是这样的:

我在阿里云申请的免费ssl证书到期了,又重新申请了新的免费证书,部署完毕后浏览器访问 https 网站正常,但是我在远程发布 wordpress 博客时无法提交,显示“unable to verify the first certificate”错误,一直不能远程发布。初步判断是证书部署问题,于是从头开始又布置了一遍,问题依旧。

我用curl命令看了一下反馈信息:

curl -I https://baidan.co

返回结果如下:

curl没有跨域的错误码(curl错误unable)(1)

为获取详细信息,我使用如下命令:

openssl s_client -showcerts -servername baidan.co -connect baidan.co:443

返回结果如下:

curl没有跨域的错误码(curl错误unable)(2)

curl没有跨域的错误码(curl错误unable)(3)

初步发现问题:通常情况下终端用户证书采用三级证书,由中间证书签署,凭借着对中间证书的信任,从而验证用户证书的合法性。比如 baidan.co(Encryption Everywhere DV TLS CA – G1) 签署。这个中间证书的合法性由顶级证书 (DigiCert ) 验证。至于顶级证书,没有上级证书来验证,它们被有限枚举、直接内置在设备中,并由各大浏览器厂商和操作系统厂商来对其进行合规验证。

这次错误是 curl 在证书验证过程中,只拿到了 baidan.co 的证书,它的签发方 Encryption Everywhere DV TLS CA – G1 并没有内置在设备中,无法形成一个合理的证书链。

所以解决办法就是构建完整的证书链,让 baidan.co 证书的合法性得到验证,那么完善证书链即可通过握手流程。

MySSL.com 提供了证书链修复工具,可以基于终端用户证书,结合网络上的公开信息,构建一条完整的证书链。

网址:https://myssl.com/chain_download.html

curl没有跨域的错误码(curl错误unable)(4)

我的服务器用的是NGINX ,证书是pem格式,后缀名直接修改成pem格式,在服务器上保存,并替换掉原来颁发的pem证书。

代码如下:

curl https://myssl.com/api/v1/get_chain/D369872473E567440711C0FBC6382EC3D5DE7542 > full_chain_rsa.pem

完善证书链后,重新加载 NGINX 服务,再次尝试使用 curl 请求获取了正常的响应。

curl没有跨域的错误码(curl错误unable)(5)

curl没有跨域的错误码(curl错误unable)(6)

重新输入:

curl -I https://baidan.co

curl没有跨域的错误码(curl错误unable)(7)

问题解决,此时远程发布博客成功!

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页