记一次curl请求https证书过期问题

·  阅读 476

事情源于一次项目调用第三方接口,协议是https。在国庆前都是好好的,突然假期最后一天领导说访问不了网页了,忙去查看下日志,发现报证书过期,第一反应是接口提供方的域名证书过期了,但是后来本地调用又发现正常,后经过以下排查发现并解决了问题(20211008)

问题

项目是用php开发的,由于php的guzzle工具是依赖于服务器的curl,所以curl模拟一波,果然重现了问题

请求


curl -H "Content-Type:application/json" -X POST --data '{"param1":1}' https://openapi.xxx.cn/api/getData
复制代码

报错

curl: (60) SSL certificate problem: certificate has expired
复制代码

解决方案

很明显,提示证书过期时,由于已经本地测试过几乎可以排除对方证书过期的问题,那么很明显是服务器环境的问题

方案一

关闭对证书的验证【-k】,虽然马上就不报错了,但是这种方式只是应急的,生产环境并不可取


curl -H "Content-Type:application/json" -X POST --data '{"param1":1}' https://openapi.xxx.cn/api/getData -k
复制代码

{"data":null,"resultCode":-102,"resultMsg":"该请求已过期"}

复制代码

方案二

基本可以确定是服务器本地的证书过旧,需要下载最新的【curl.haxx.se/ca/cacert.p… 】,以下提供本地mac环境和服务器centos环境下的解决过程

mac


curl-config --ca //尝试获取证书位置,但是我这边返回了空,问题不大,继续curl -v看下具体信息

curl http://xxx -v //查看报错原因,得知mac下读取的证书文件位置是在[/etc/ssl/cert.pem ]

ls -l /etc/ssl/cert.pem

-rw-r--r-- 1 /etc/ssl/cert.pem //这里直接是个文件,权限是644

cp /etc/ssl/cert.pem /etc/ssl/cert.bak.pem //备份原文件

curl -o ./cacert.pem "http://curl.haxx.se/ca/cacert.pem" -L -v //下载最新的证书。-L是为了跟踪重定向,-v是为了查看具体信息

cp ./cacert.pem /etc/ssl/cert.pem //替换原文件,到此完成

复制代码

centos


curl-config --ca //尝试获取证书位置,得知centos下读取的证书文件位置是在[/etc/pki/tls/certs/ca-bundle.crt]

ll /etc/pki/tls/certs/ca-bundle.crt

lrwxrwxrwx 1 root root /etc/pki/tls/certs/ca-bundle.crt -> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem //这里是个软连接,权限是777

mv /etc/pki/tls/certs/ca-bundle.crt /etc/pki/tls/certs/ca-bundle.bak.crt //备份原文件

curl -o ./cacert.pem "http://curl.haxx.se/ca/cacert.pem" -L -v //下载最新的证书。-L是为了跟踪重定向,-v是为了查看具体信息

cp ~/cacert.pem /etc/pki/ca-trust/extracted/pem/20211008-ca-bundle.pem //先存放到这个目录下

ln -s /etc/pki/ca-trust/extracted/pem/20211008-ca-bundle.pem /etc/pki/tls/certs/ca-bundle.crt //和原文件一样,创建软连接,到此完成

复制代码

php

如果仍然报错,则继续修改php.ini,


curl.cainfo = "/etc/ssl/certs/cacert.pem"

curl.cainfo = "/etc/ssl/cert.pem"
复制代码

重启PHP服务

其他

首先记录一哈,这是在掘金的第一文,之前一直在博客园发文,本文其实是之前在博客园自己写的一篇来的,之后也将陆续把一些文发到这边
本菜博客园:点我打开

分类:
后端
标签:
收藏成功!
已添加到「」, 点击更改