curl 错误:unable to verify the first certificate 解决办法
事情是这样的:
我在阿里云申请的免费ssl证书到期了,又重新申请了新的免费证书,部署完毕后浏览器访问 https 网站正常,但是我在远程发布 wordpress 博客时无法提交,显示“unable to verify the first certificate”错误,一直不能远程发布。初步判断是证书部署问题,于是从头开始又布置了一遍,问题依旧。
我用curl命令看了一下反馈信息:
curl -I https://baidan.co
返回结果如下:
为获取详细信息,我使用如下命令:
openssl s_client -showcerts -servername baidan.co -connect baidan.co:443
返回结果如下:
初步发现问题:通常情况下终端用户证书采用三级证书,由中间证书签署,凭借着对中间证书的信任,从而验证用户证书的合法性。比如 baidan.co(Encryption Everywhere DV TLS CA – G1) 签署。这个中间证书的合法性由顶级证书 (DigiCert ) 验证。至于顶级证书,没有上级证书来验证,它们被有限枚举、直接内置在设备中,并由各大浏览器厂商和操作系统厂商来对其进行合规验证。
这次错误是 curl 在证书验证过程中,只拿到了 baidan.co 的证书,它的签发方 Encryption Everywhere DV TLS CA – G1 并没有内置在设备中,无法形成一个合理的证书链。
所以解决办法就是构建完整的证书链,让 baidan.co 证书的合法性得到验证,那么完善证书链即可通过握手流程。
MySSL.com 提供了证书链修复工具,可以基于终端用户证书,结合网络上的公开信息,构建一条完整的证书链。
网址:https://myssl.com/chain_download.html
我的服务器用的是nginx ,证书是pem格式,后缀名直接修改成pem格式,在服务器上保存,并替换掉原来颁发的pem证书。
代码如下:
curl https://myssl.com/api/v1/get_chain/D369872473E567440711C0FBC6382EC3D5DE7542 > full_chain_rsa.pem
完善证书链后,重新加载 NGINX 服务,再次尝试使用 curl 请求获取了正常的响应。
重新输入:
curl -I https://baidan.co
问题解决,此时远程发布博客成功!