使用 Nginx 的 https SSL 证书验证因自定义构建的 libcurl+openssl 而失败,但适用于系统 curl
Posted
技术标签:
【中文标题】使用 Nginx 的 https SSL 证书验证因自定义构建的 libcurl+openssl 而失败,但适用于系统 curl【英文标题】:https SSL cert verification with Nginx fails with custom built libcurl+openssl, but works with system curl 【发布时间】:2011-09-11 23:49:38 【问题描述】:我正在使用 libcurl 通过 https 与两个单独的 Web 服务器通信。
第一台服务器在 64 位 Ubuntu 10.04 上运行 Lighttpd 1.4.26-1。 Lightty 是针对 openssl 版本 0.9.8k 构建的。
第二台服务器在 32 位 Ubuntu 10.04 上运行 nginx 0.7.65。 Nginx 是针对 openssl 版本 0.9.8k 构建的。
这两个服务器使用相同的证书,并且 DNS 在它们之间循环。我使用 /etc/hosts 来管理我要命中的两个。
我正在使用针对 openssl 1.0.0c 构建的 libcurl 版本 7.21.2。
这样,libcurl 可以成功地向 lightty 服务器发出 https 请求,但不能向 nginx 服务器发出请求。我可以使用 curl 命令行界面复制它。这是 curl -v 的输出:
* About to connect() to <hostname> port 443 (#0)
* Trying <ip>... connected
* Connected to <hostname> (<ip>) port 443 (#0)
* successfully set certificate verify locations:
* CAfile: cadata
CApath: none
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS alert, Server hello (2):
* SSL certificate problem, verify that the CA cert is OK. Details:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
* Closing connection #0
curl: (60) SSL certificate problem, verify that the CA cert is OK. Details:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
如果我在同一系统上使用旧版本的 curl(7.19.7 和 openssl 0.9.8l),则相同的请求有效:
* About to connect() to <hostname> port 443 (#0)
* Trying <ip>... connected
* Connected to <hostname> (<ip>) port 443 (#0)
* successfully set certificate verify locations:
* CAfile: certdata
CApath: none
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using DHE-RSA-AES256-SHA
* Server certificate:
认为这与 curl 和/或 openssl 的较新版本有关,我重新构建了 curl 和 libcurl,并启用了相同的版本和选项:
Broken (my build):
seldon:bin ryanowen$ ./curl -V
curl 7.19.7 (i386-apple-darwin10.7.0) libcurl/7.19.7 OpenSSL/0.9.8l zlib/1.2.3
Protocols: tftp ftp telnet dict ldap http file https ftps
Features: GSS-Negotiate IPv6 Largefile NTLM SSL libz
Works (system version):
seldon:bin ryanowen$ /usr/bin/curl -V
curl 7.19.7 (universal-apple-darwin10.0) libcurl/7.19.7 OpenSSL/0.9.8l zlib/1.2.3
Protocols: tftp ftp telnet dict ldap http file https ftps
Features: GSS-Negotiate IPv6 Largefile NTLM SSL libz
不幸的是,这似乎没有什么不同。我的 curl 构建仍然失败(但仅在与 nginx 服务器通信时),而系统构建当然仍然有效。
导致 SSL 握手失败的 libcurl 构建可能有什么不同?是否有任何选项未反映在我需要启用的 -V 输出中?关于我应该研究的 Nginx 方面的任何事情?
【问题讨论】:
【参考方案1】:我终于在 Nginx 方面发现了问题。 Nginx 配置引用了服务器证书和密钥,但没有引用 CA 包。将 CA 捆绑包连接到服务器证书文件的末尾似乎已经解决了问题。
我提供给 libcurl 的 CA 数据包括 CA 证书,但不包括链中的其他一些证书。我猜系统 curl 一定把这些证书藏在某个地方。
【讨论】:
您在哪里找到 CA 捆绑包? 找到了我的问题的答案。我正在使用 certbot v0.11.1,它将捆绑包安装在/etc/letsencrypt/live/domain.com/fullchain.pem以上是关于使用 Nginx 的 https SSL 证书验证因自定义构建的 libcurl+openssl 而失败,但适用于系统 curl的主要内容,如果未能解决你的问题,请参考以下文章