curl 错误：unable to verify the first certificate 解决办法

事情是这样的：

我在阿里云申请的免费ssl证书到期了，又重新申请了新的免费证书，部署完毕后浏览器访问 https 网站正常，但是我在远程发布 wordpress 博客时无法提交，显示“unable to verify the first certificate”错误，一直不能远程发布。初步判断是证书部署问题，于是从头开始又布置了一遍，问题依旧。

我用curl命令看了一下反馈信息：

curl -I https://baidan.co

返回结果如下：

为获取详细信息，我使用如下命令：

openssl s_client -showcerts -servername baidan.co -connect baidan.co:443

返回结果如下：

初步发现问题：通常情况下终端用户证书采用三级证书，由中间证书签署，凭借着对中间证书的信任，从而验证用户证书的合法性。比如 baidan.co(Encryption Everywhere DV TLS CA – G1) 签署。这个中间证书的合法性由顶级证书 (DigiCert ) 验证。至于顶级证书，没有上级证书来验证，它们被有限枚举、直接内置在设备中，并由各大浏览器厂商和操作系统厂商来对其进行合规验证。

这次错误是 curl 在证书验证过程中，只拿到了 baidan.co 的证书，它的签发方 Encryption Everywhere DV TLS CA – G1 并没有内置在设备中，无法形成一个合理的证书链。

所以解决办法就是构建完整的证书链，让 baidan.co 证书的合法性得到验证，那么完善证书链即可通过握手流程。

MySSL.com 提供了证书链修复工具，可以基于终端用户证书，结合网络上的公开信息，构建一条完整的证书链。

网址：https://myssl.com/chain_download.html

我的服务器用的是nginx ，证书是pem格式，后缀名直接修改成pem格式，在服务器上保存，并替换掉原来颁发的pem证书。

代码如下：

curl https://myssl.com/api/v1/get_chain/D369872473E567440711C0FBC6382EC3D5DE7542 > full_chain_rsa.pem

完善证书链后，重新加载 NGINX 服务，再次尝试使用 curl 请求获取了正常的响应。

重新输入：

curl -I https://baidan.co

问题解决，此时远程发布博客成功！