SSL_connect 返回=1 errno=0 state=SSLv3 读取服务器证书B：证书验证失败

Posted 2023-02-15

技术标签:

【中文标题】SSL_connect 返回=1 errno=0 state=SSLv3 读取服务器证书B：证书验证失败【英文标题】：SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed 【发布时间】：2011-05-30 12:15:23 【问题描述】：

我使用Authlogic-Connect 进行第三方登录。运行适当的迁移后，Twitter/Google/yahoo 登录似乎工作正常，但 facebook 登录抛出异常：

SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed

开发日志显示

OpenSSL::SSL::SSLError (SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed):
  app/controllers/users_controller.rb:37:in `update'

请建议..

【问题讨论】：

这有帮助吗：***.com/q/3977303/382818 这是迄今为止我能找到的最佳解决方案***.com/a/16983443/11792 【参考方案1】：

我在尝试使用 Rails 3 的 JQuery 生成器时遇到了类似的问题

我是这样解决的：

获取 CURL 证书颁发机构 (CA) 包。您可以这样做：

sudo port install curl-ca-bundle

wget http://curl.haxx.se/ca/cacert.pem

执行尝试验证 SSL 认证的 ruby 代码：SSL_CERT_FILE=/opt/local/etc/certs/cacert.pem rails generate jquery:install。在您的情况下，您希望将其设置为服务器获取它的某个环境变量，或者在您的 environment.rb 文件中添加类似 ENV['SSL_CERT_FILE'] = /path/to/your/new/cacert.pem 的内容。

您也可以只将 CA 文件（我没有尝试过）安装到操作系统 - 有很长的说明 here - 这应该以类似的方式工作，但我没有亲自尝试过。

基本上，您遇到的问题是某些 Web 服务正在使用针对 OpenSSL 无法验证的 CA 签名的证书进行响应。

【讨论】：

这对我也有用，同时尝试使用 Ruby Net::IMAP 从 ruby 脚本连接到我的 gmail 帐户。谢谢。是的，这在 ruby-1.9.3 上运行良好。我将它添加到我的 bash 配置中。 export SSL_CERT_FILE=/usr/local/etc/openssl/certs/cert.pem 我没有/usr/local/etc/openssl，所以我跑了sudo curl http://curl.haxx.se/ca/cacert.pem >> /usr/local/etc/cacert.pem，然后是export SSL_CERT_FILE=/usr/local/etc/cacert.pem 在我的 Mac 上开发时，我刚刚将 SSL_CERT_FILE=/usr/local/etc/openssl/cert.pem 添加到我的应用程序的 .env 文件中，瞧 - 一切都很开心。我很欣赏使用 wget 下载 curl 证书的讽刺。【参考方案2】：

如果你在 OS X 上使用 RVM，你可能需要运行这个：

rvm osx-ssl-certs update all

更多信息在这里：http://rvm.io/support/fixing-broken-ssl-certificates

这里是完整的解释：https://github.com/wayneeseguin/rvm/blob/master/help/osx-ssl-certs.md

更新

在 Ruby 2.2 上，您可能必须从源代码重新安装 Ruby 才能解决此问题。方法如下（将 2.2.3 替换为您的 Ruby 版本）：

rvm reinstall 2.2.3 --disable-binary

归功于https://***.com/a/32363597/4353 和Ian Connor。

【讨论】：

这里有一个更全面的替代方案：railsapps.github.io/openssl-certificate-verify-failed.html 错误：rvm 更新已被删除。请参阅 'rvm get' 和 rvm 'rubygems' CLI API @user432506 你是怎么得到这个错误的？我正在使用最新的稳定 RVM，它仍然有效。这会工作一段时间，然后对我来说失败了。对我有用的是运行rvm reinstall 2.2.0 --disable-binary，但是你必须捆绑安装并重新开始。这是一个巨大的救命稻草，应该是公认的答案。【参考方案3】：

在 Windows 上修复它的方法如下：https://gist.github.com/867550（由 Fletcher Nichol 创建）

摘录：

手动方式（无聊）

从http://curl.haxx.se/ca/cacert.pem 下载cacert.pem 文件。将此文件保存到C:\RailsInstaller\cacert.pem。

现在通过设置 SSL_CERT_FILE 让 ruby 了解您的证书颁发机构捆绑包。要在当前的命令提示符会话中进行设置，请键入：
set SSL_CERT_FILE=C:\RailsInstaller\cacert.pem
要使其成为永久设置，请将其添加到您的 control panel。

【讨论】：

谢谢。这非常有用，也非常简单。上述解决方案对我没有帮助。这是一个更好的 Windows 指南：***.com/questions/5720484/… @Sprachprofi 您链接到的解决方案一次仅适用于 1 个 rails 项目（因为您直接指向该证书）。我链接到的要点（由 Fletcher Nichol 创建）将允许它涵盖所有正在寻找证书的项目/宝石。【参考方案4】：

Ruby 找不到任何可信任的根证书。

查看此博客文章以获取解决方案：“Ruby 1.9 and the SSL error”。

解决方案是安装curl-ca-bundle 端口，该端口包含与 Firefox 相同的根证书：
sudo port install curl-ca-bundle
并告诉您的 https 对象使用它：
https.ca_file = '/opt/local/share/curl/curl-ca-bundle.crt'
请注意，如果您希望代码在 Ubuntu 上运行，则需要设置 ca_path 属性，默认证书位置为 /etc/ssl/certs。

【讨论】：

这似乎也发生在 Windows 上，在这种情况下，那里推荐的解决方案将不起作用。【参考方案5】：

您在 OSX 上收到此错误的原因是 rvm 安装的 ruby。

如果您在 OSX 上遇到这个问题，您可以在这篇博文中找到一个非常广泛的解释：

http://toadle.me/2015/04/16/fixing-failing-ssl-verification-with-rvm.html

简而言之，对于某些版本的 Ruby，RVM 会下载预编译的二进制文件，这些文件会在错误的位置查找证书。通过强制 RVM 下载源代码并在您自己的机器上编译，您可以确保证书位置的配置正确。

执行此操作的命令是：

rvm install 2.2.0 --disable-binary

如果您已经有相关版本，您可以重新安装它：

rvm reinstall 2.2.0 --disable-binary

（显然，根据需要替换您的 ruby 版本）。

【讨论】：

这对我有用。您指向的博文也很有用，谢谢！这在 El Capitan 上对我有用。我内爆了 rvm（rvm 内爆）。再次使用\curl -sSL https://get.rvm.io | bash -s stable --autolibs=homebrew 安装，然后rvm install <ruby-version> --disable-binary 有一次我也安装了rvm get head，因为这些都是一些前沿问题。只有这个解决方案对我有用，因为最初我在 El Capitan 上安装了 Ruby 2.0.0，并且由于某种原因，即使使用正确的 SSL_CERT_FILE，旧版本也无法正常工作。在rvm install 2.2.0 --disable-binary之后，问题排序。【参考方案6】：

问题是 ruby 找不到要信任的根证书。从 1.9 开始，ruby 会检查这一点。您需要确保您的系统上具有 pem 文件形式的 curl 证书。您还需要确保证书位于 ruby 期望的位置。您可以在...获得此证书。

http://curl.haxx.se/ca/cacert.pem

如果您是 RVM 和 OSX 用户，那么您的证书文件位置将根据您使用的 ruby 版本而有所不同。使用 :ca_path 显式设置路径是一个坏主意，因为您的代码在投入生产时将不可移植。在那里，您想在默认位置为 ruby 提供证书（并假设您的开发人员知道他们在做什么）。您可以使用 dtruss 确定系统在哪里寻找证书文件。

在我的情况下，系统正在寻找证书文件

/Users/stewart.matheson/.rvm/usr/ssl/cert.pem

但是 MACOSX 系统需要证书

/System/Library/OpenSSL/cert.pem

我将下载的证书复制到此路径并且它有效。高温

【讨论】：

对于 Ubuntu 12.04 上的我来说，有效的证书路径是 ~/.rvm/usr/ssl/cert.pem 如何使用 dtruss 确定系统在哪里寻找证书？ @pingu 基本上不记得你运行 druss 的确切命令，然后你告诉它运行你希望它“检查”的任何 ruby 进程。它的输出非常冗长，但基本上你将能够看到 ruby 正在进行的每个系统调用。其中一个调用是读取文件调用，它将指向一个不存在的文件。将证书移至此处或创建链接，您应该一切顺利。 Ruby 不应该在 OS X 上寻找cacert.pem。OS X 不使用cacert.pem。系统和用户证书存储在 KeyChain 中。 Ruby 应该与 OS X 上的 KeyChain 集成。最好的方法是什么？可以举个例子吗？【参考方案7】：

新的认证 gem 旨在解决这个问题：

https://github.com/stevegraham/certified

【讨论】：

适用于 ruby 2.0.0p481 (2014-05-08) [i386-mingw32] 不适用于 Rails 4.1.9、ruby-2.1.5。我将它添加到 Gemfile，bundle，明确添加了require "certified"，只是为了确定，没有任何变化。我错过了什么？ Ruby 不应该在 OS X 上寻找cacert.pem。OS X 不使用cacert.pem。系统和用户证书存储在 KeyChain 中。 Ruby 应该与 OS X 上的 KeyChain 集成。OpenSSL从未分发过cacert.pem。我不清楚为什么任何软件都会为它遵循 OpenSSL。【参考方案8】：

只需在您的 gemfile 中添加 gem 'certified' 并运行 bundle install。

认证

【讨论】：

确认这有助于 El Capitan。谢谢！它与 Rails 和 Debian 完美配合 :) 非常感谢！【参考方案9】：

在带有最新 macport 的 Mac OS X Lion 上：

sudo port install curl-ca-bundle  
export SSL_CERT_FILE=/opt/local/share/curl/curl-ca-bundle.crt

然后，重新运行失败的作业。

请注意，自 Eric G 于 5 月 12 日回答以来，证书文件位置似乎已更改。

【讨论】：

经过所有的搜索和多次尝试，这是唯一解决问题的方法。谢谢！酷，解决了它。但是只要用 homebrew 安装了 openssl，你就必须在你的 .profile 或 .bashrc 文件中添加一个export SSL_CERT_FILE=/usr/local/etc/openssl/cacert.pem【参考方案10】：

一个内衬在管理员提示符下为 Windows 修复它

choco install wget（先见chocolatey.org）

wget http://curl.haxx.se/ca/cacert.pem -O C:\cacert.pem && setx /M SSL_CERT_FILE "C:\cacert.pem"

或者只是这样做：

gem sources -r https://rubygems.org/
gem sources -a http://rubygems.org/

米兰尼奥的方法：

gem sources -r https://rubygems.org
gem sources -a http://rubygems.org 
gem update --system
gem sources -r http://rubygems.org
gem sources -a https://rubygems.org

gem install [NAME_OF_GEM]

【讨论】：

小改进 - 你只需要更新 ruby，然后你可以添加 https 源 - 这对我来说就像一个魅力：gem sources -r rubygems.org => gem sources -a @987654323 @ => gem update --system => gem sources -r rubygems.org => gem sources -a rubygems.org => gem install [NAME_OF_GEM] 获取rubygems.org时出错：SSL_connect 返回=1 errno=0 state=error：证书验证失败（无法获取本地颁发者证书）(api.rubygems.org/specs.4.8.gz)【参考方案11】：

这对我有用

rvm pkg install openssl
rvm reinstall 1.9.2 --with-openssl-dir=$rvm_path/usr

我的 ubuntu 12.04 的 openssl 实现有问题

【讨论】：

这可行，但我必须完成这个：curl -O http://curl.haxx.se/ca/cacert.pem，mv cacert.pem cert.pem，mv cert.pem $rvm_path/usr/ssl 为我工作，Mac OS X Yosemite。谢谢！【参考方案12】：

这是用于调试目的的另一个选项。

千万不要在任何生产环境中使用它，因为它首先会抵消使用 SSL 的好处。仅在本地开发环境中执行此操作才有效。

require 'openssl'
OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE

【讨论】：

否决：是的，这行得通，但安装有效 CA 包并实际解决问题的障碍是如此之低，以至于像这样的解决方案 - 几乎完全使 SSL 的安全性无效 - 不是除非您处于证书颁发机构完全无法访问的环境中，否则应该实施的解决方案（即使那样，您也应该创建一个可供两个端点访问的本地 CA）。它并没有完全移除 SSL 保护，而是完全移除了它。永远不要这样做。调试就足够了这会在 1.9 中产生警告这对于在实际 Internet 上的生产工作来说是一个糟糕的解决方案，但“你可能根本不使用 SSL”是不正确的。通过网络加密的流量优于明文流量。是的，您有可能受到中间人攻击，但与简单地窃听经过的明文流量相比，这些攻击至少更难站稳脚跟。【参考方案13】：

虽然知道这是一个相当蹩脚的解决方案，但我仍然分享这个，因为似乎很少有人在这里回答使用 Windows，我认为一些 Windows 用户（包括我在内）会喜欢简单直观的方法。

require 'openssl'
puts OpenSSL::X509::DEFAULT_CERT_FILE

这告诉您 openssl 在哪里寻找证书文件。我的名字不是路易斯，但我的名字是C:/Users/Luis/Code/luislavena/knap-build/var/knapsack/software/x86-windows/openssl/1.0.0l/ssl/cert.pem。路径可能因每个自己的环境而异（例如 openknapsack 而不是 luislavena）。

即使在通过控制台set SSL_CERT_FILE=C:\foo\bar\baz\cert.pem 之后路径也没有改变，所以...我在本地磁盘中创建了目录 C:\Users\Luis\Code\luislavena\knap-build\var\knapsack\software\x86-windows\openssl\1.0.0l\ssl 并将证书文件放入其中。

虽然很蹩脚，这肯定会奏效。

【讨论】：

太棒了。哈基，但这是唯一解决我问题的方法。调试的好方法......对我来说，用户是“贾斯汀”。谷歌搜索显示这似乎是 RubyInstaller 的一个已知问题。不幸的是，我自己创建该目录（+ pem 文件）并没有为我解决问题【参考方案14】：

我已经尝试安装curl-ca-bundle 和brew，但该软件包不再可用：

$ brew install curl-ca-bundle
Error: No available formula for curl-ca-bundle 
Searching formulae...
Searching taps...

在 Mac 上对我有用的解决方案是：

 $ cd /usr/local/etc/openssl/certs/
 $ sudo curl -O http://curl.haxx.se/ca/cacert.pem

将此行添加到您的 ~/.bash_profile（或 ~/.zshrc 用于 zsh）中：

export SSL_CERT_FILE=/usr/local/etc/openssl/certs/cacert.pem

然后更新你的终端：

$ source ~/.bash_profile

【讨论】：

这对我有用 - 但路径错误。应该是：export SSL_CERT_FILE=/usr/local/etc/openssl/certs/cacert.pem 这是一个很好的解决方案，因为它很简单。此外，通过在 ~/.bash_profile 中引用添加的证书，它会在需要进一步更新时提醒您添加了什么（以及关键的位置）。这对我有用。 @dnlmzw 路径对我来说很好，但这当然取决于您的设置。谢谢！在尝试将使用自签名证书的私有 gem 服务器 URL 添加到我的 gem 源时对我不起作用。 OSX 10.11.6 + rbenv【参考方案15】：

我在处理 Ruby 项目时遇到了同样的问题。我正在使用 Windows 7 64 位。

我通过以下方式解决了这个问题：

cacert.pem

C:/RubyCertificates/cacert.pem

来源：https://gist.github.com/fnichol/867550

【讨论】：

由于是Windows，所以环境变量的值要使用反斜杠。在修复 rubygems ssl 错误后，这是为我修复“捆绑”的唯一解决方案【参考方案16】：

对我有用的最直接的答案是这个

sudo apt-get install openssl ca-certificates

然后瞧！！！

【讨论】：

希望我能多次投票，因为你为我节省了很多时间！ @Stephen - 我希望你也可以:-)。它为我节省了很多时间，所以我想我会把它贴在这里，它也可能对其他人有所帮助。【参考方案17】：

带有 Homebrew 的 OS X 10.8.x：

brew install curl-ca-bundle
brew list curl-ca-bundle
cp /usr/local/Cellar/curl-ca-bundle/1.87/share/ca-bundle.crt /usr/local/etc/openssl/cert.pem

【讨论】：

在 10.9 上也适用于我。好吧，OS X 10.9.1。太棒了！当你不得不寻找随机的解决方案来解决这些愚蠢的问题时，有些东西被严重破坏了。所有这些答案都做了一些完全不同的事情，而且它们似乎都在某些时候对人们有所帮助。什么鬼？ curl-ca-bundle 已从 brew 中移除【参考方案18】：

然后，正如这篇博文所建议的，

“How to Cure Net::HTTP’s Risky Default HTTPS Behavior”

您可能想要安装always_verify_ssl_certificates gem，它允许您为ca_file 设置默认值。

【讨论】：

【参考方案19】：

这对我有用。如果您使用 rvm 和 brew：

rvm remove 1.9.3
brew install openssl
rvm install 1.9.3 --with-openssl-dir=`brew --prefix openssl`

【讨论】：

【参考方案20】：

我遇到了这个问题，尽管我是 OSX 上的 RVM 用户，但建议的 rvm osx-ssl-certs update all 修复仍然无效。

对我有用的修复是重新安装最新版本的 openssl：

brew update
brew remove openssl
brew install openssl

【讨论】：

【参考方案21】：

我通过在终端中运行它解决了这个问题。完整的文章可通过here 获得

rvm install 2.2.0 --disable-binary

【讨论】：

【参考方案22】：

如果您在本地运行您的 rails 应用程序，那么只需在 application.rb 的底部添加这一行。

OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE

在此之后，您可以毫无问题地使用该应用程序。您可以将其称为 hack，但不建议这样做。仅在需要本地运行时使用

【讨论】：

【参考方案23】：

OSX 解决方案：

安装最新的 rvm 稳定版

rvm get stable

使用 rvm 命令自动解析证书

rvm osx-ssl-certs update all

【讨论】：

我试过了，但它对我不起作用。这是我的解决方案：***.com/a/16741712/62 在通过 RVM 安装 Ruby 2.0.0 后为我工作。【参考方案24】：

如果您在 Leopard 上遇到具体问题，这就是我所做的帮助。

我的证书很旧，需要更新。我下载了这个：

http://curl.haxx.se/ca/cacert.pem

然后替换了我在 Leopard 上找到的证书：

/usr/share/curl/curl-ca-bundle.crt

重新加载任何可以访问它的东西，你应该一切顺利！

【讨论】：

【参考方案25】：

仅仅因为对我有用的说明略有不同，我想我加了 2 美分：

我在 OS X Lion 上使用 macports 和 rvm

我安装了 curl-ca-bundle：

sudo port install curl-ca-bundle

然后我将omniauth配置调整为：

Rails.application.config.middleware.use OmniAuth::Builder do
  provider :google_oauth2, APP_CONFIG['CONSUMER_KEY'], APP_CONFIG['CONSUMER_SECRET'],
           :scope => 'https://www.google.com/m8/feeds https://www.googleapis.com/auth/userinfo.profile',
           :ssl => :ca_path => "/share/curl/curl-ca-bundle.crt"
end

【讨论】：

您可以（并且可能应该）放弃整个 CA Zoo (ca-bundle.crt) 并在:ssl => :ca_path => "/share/curl/curl-ca-bundle.crt" 中使用Google Internet Authority G2。这是唯一需要证明与 Google 的连接。【参考方案26】：

如果 /usr/local/etc/openssl 中有指向 cert.pem 的符号链接，请尝试这样做：

ruby -ropenssl -e "p OpenSSL::X509::DEFAULT_CERT_FILE" (should be /usr/local/etc/openssl)
cd /usr/local/etc/openssl
wget http://curl.haxx.se/ca/cacert.pem
ln -s cacert.pem 77ee3751.0 (77ee3751.0 is my symbolic link, should depend on the openssl version)

【讨论】：

【参考方案27】：

对我有用的是答案的组合，即：

# Reinstall OpenSSL
brew update
brew remove openssl
brew install openssl
# Download CURL CA bundle
cd /usr/local/etc/openssl/certs
wget http://curl.haxx.se/ca/cacert.pem
/usr/local/opt/openssl/bin/c_rehash
# Reinstall Ruby from source
rvm reinstall 2.2.3 --disable-binary

【讨论】：

【参考方案28】：

我有好几天都遇到了麻烦，而且一直在乱搞。 This link 被证明对我非常有帮助。它帮助我在 MAC OS X 9 上成功升级了 SSL。

【讨论】：

【参考方案29】：

有时并不总是 rvm 的问题 在 MAC OSX 中，如果你删除 .rvm，问题仍然存在（尤其是当你从 timemachine 备份数据时），你可以试试这个方法。