因为本地证书太旧或不全导致的 HTTPS 访问失败问题20240520

因为本地证书太旧或不全导致的 HTTPS 访问失败问题

在生产环境中，我们经常需要使用 curl 命令来测试和调试 HTTPS URL。然而，最近我遇到了一个棘手的问题：在测试环境中使用 curl 可以正常访问某个 URL，但在生产环境中却遇到了 SSL 错误。这篇博客将详细分析问题的原因，并提供解决方案，希望能帮助大家在类似情况下迅速解决问题。

问题描述

测试环境

在测试环境中，以下 curl 命令可以正常运行并返回预期结果：

curl -v --location --request GET 'https://example.com/api/test' --header 'User-Agent: Apifox/1.0.0 (https://apifox.com)'

输出结果：

< HTTP/1.1 200 OK
< Date: Mon, 20 May 2024 09:27:27 GMT
< Content-Type: application/json;charset=UTF-8
< Transfer-Encoding: chunked
< Connection: keep-alive
< X-Example-Trace-Id: 4a6c1cee99484e82bfe7e992736fcea7{"respCode":"1111111","respDesc":"Required request body is missing: ..."}

生产环境

在生产环境中，运行相同的 curl 命令会遇到 SSL 错误，即使尝试忽略证书问题也无效。

初步分析

网络连通性

首先，我们确认了生产环境中的网络连通性没有问题。使用 telnet 命令可以成功连接到目标服务器：

telnet example.com 443

可能原因

经过分析，怀疑问题出在自签名证书上。在测试环境中，可能已经手动导入了自签名证书，而生产环境中没有进行相应的配置。因此，需要将测试环境中的自签名证书复制到生产环境中。

解决方案

很高兴能帮助到你！确实，针对因为本地证书太旧或不全导致的 HTTPS 访问失败的 SSL 报错，通常有两个解决方案：

解决方案一：在线更新证书

步骤 1：更新系统并安装必要的软件包

首先，确保系统和软件包是最新的：

sudo yum update -y
sudo yum install ca-certificates openssl -y

步骤 2：强制启用和更新 CA 证书库

使用以下命令强制启用和更新 CA 证书库：

sudo update-ca-trust force-enable
sudo update-ca-trust extract

验证更新

使用 curl 命令验证是否解决了 SSL 错误：

curl -v --location --request GET 'https://example.com/api/test' --header 'User-Agent: Apifox/1.0.0 (https://apifox.com)'

解决方案二：离线更新证书

步骤 1：导出自签名证书

在可以正常访问 HTTPS 的测试环境中，导出自签名证书：

openssl x509 -in /path/to/test/certificate.crt -out /path/to/exported/certificate.pem

步骤 2：复制证书到生产环境

将导出的 certificate.pem 文件复制到生产环境。可以使用 scp 命令：

scp /path/to/exported/certificate.pem user@production-server:/path/to/production/certificate.pem

步骤 3：在生产环境中安装证书

1. 将复制到生产环境中的证书移动到适当的位置（例如 /etc/pki/ca-trust/source/anchors/ 目录）：

   sudo mv /path/to/production/certificate.pem /etc/pki/ca-trust/source/anchors/
   

2. 更新 CA 证书库：

   sudo update-ca-trust extract
   

验证更新

使用 curl 命令验证是否解决了 SSL 错误：

curl -v --location --request GET 'https://example.com/api/test' --header 'User-Agent: Apifox/1.0.0 (https://apifox.com)'

总结

在线更新证书

• 优点：简单快速，只需运行几个命令即可更新系统 CA 证书库。
• 缺点：需要互联网连接，无法在无网络环境中进行。

离线更新证书

• 优点：适用于无网络环境，通过复制证书文件和更新系统 CA 证书库实现。
• 缺点：需要手动导出和复制证书文件，相对繁琐。

这两种方案都可以解决因为本地证书太旧或不全导致的 HTTPS 访问失败问题。根据你的环境和需求选择合适的方案即可。

常见问题与解答

为什么测试环境正常，生产环境不正常？

这是因为测试环境中可能已经手动导入了自签名证书，而生产环境没有进行相应的配置。生产环境中的 CA 证书库需要更新以包含自签名证书。

什么是自签名证书？

自签名证书是由自己生成和签署的证书，而不是由受信任的第三方证书颁发机构（CA）签署。由于不是由受信任的 CA 签署，浏览器和其他客户端默认不会信任它，需要手动导入到系统的 CA 证书库中。

如何确保 CA 证书库是最新的？

可以使用操作系统的包管理工具来更新 CA 证书库。例如，在 CentOS 中使用 yum 更新：

sudo yum update ca-certificates

通过上述步骤，我们成功解决了在生产环境中使用 curl 访问 HTTPS URL 时遇到的 SSL 错误。希望这篇博客能帮助大家在遇到类似问题时迅速找到解决方案。