使用 Nginx 的 https SSL 证书验证因自定义构建的 libcurl+openssl 而失败,但适用于系统 curl

Posted

技术标签:

【中文标题】使用 Nginx 的 https SSL 证书验证因自定义构建的 libcurl+openssl 而失败,但适用于系统 curl【英文标题】:https SSL cert verification with Nginx fails with custom built libcurl+openssl, but works with system curl 【发布时间】:2011-09-11 23:49:38 【问题描述】:

我正在使用 libcurl 通过 https 与两个单独的 Web 服务器通信。

第一台服务器在 64 位 Ubuntu 10.04 上运行 Lighttpd 1.4.26-1。 Lightty 是针对 openssl 版本 0.9.8k 构建的。

第二台服务器在 32 位 Ubuntu 10.04 上运行 nginx 0.7.65。 Nginx 是针对 openssl 版本 0.9.8k 构建的。

这两个服务器使用相同的证书,并且 DNS 在它们之间循环。我使用 /etc/hosts 来管理我要命中的两个。

我正在使用针对 openssl 1.0.0c 构建的 libcurl 版本 7.21.2。

这样,libcurl 可以成功地向 lightty 服务器发出 https 请求,但不能向 nginx 服务器发出请求。我可以使用 curl 命令行界面复制它。这是 curl -v 的输出:

* About to connect() to <hostname> port 443 (#0)
*   Trying <ip>... connected
* Connected to <hostname> (<ip>) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: cadata
  CApath: none
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS alert, Server hello (2):
* SSL certificate problem, verify that the CA cert is OK. Details:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
* Closing connection #0
curl: (60) SSL certificate problem, verify that the CA cert is OK. Details:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

如果我在同一系统上使用旧版本的 curl(7.19.7 和 openssl 0.9.8l),则相同的请求有效:

* About to connect() to <hostname> port 443 (#0)
*   Trying <ip>... connected
* Connected to <hostname> (<ip>) port 443 (#0)
* successfully set certificate verify locations:
*   CAfile: certdata
  CApath: none
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using DHE-RSA-AES256-SHA
* Server certificate:

认为这与 curl 和/或 openssl 的较新版本有关,我重新构建了 curl 和 libcurl,并启用了相同的版本和选项:

Broken (my build):
seldon:bin ryanowen$ ./curl -V
curl 7.19.7 (i386-apple-darwin10.7.0) libcurl/7.19.7 OpenSSL/0.9.8l zlib/1.2.3
Protocols: tftp ftp telnet dict ldap http file https ftps 
Features: GSS-Negotiate IPv6 Largefile NTLM SSL libz 

Works (system version):
seldon:bin ryanowen$ /usr/bin/curl -V
curl 7.19.7 (universal-apple-darwin10.0) libcurl/7.19.7 OpenSSL/0.9.8l zlib/1.2.3
Protocols: tftp ftp telnet dict ldap http file https ftps 
Features: GSS-Negotiate IPv6 Largefile NTLM SSL libz 

不幸的是,这似乎没有什么不同。我的 curl 构建仍然失败(但仅在与 nginx 服务器通信时),而系统构建当然仍然有效。

导致 SSL 握手失败的 libcurl 构建可能有什么不同?是否有任何选项未反映在我需要启用的 -V 输出中?关于我应该研究的 Nginx 方面的任何事情?

【问题讨论】:

【参考方案1】:

我终于在 Nginx 方面发现了问题。 Nginx 配置引用了服务器证书和密钥,但没有引用 CA 包。将 CA 捆绑包连接到服务器证书文件的末尾似乎已经解决了问题。

我提供给 libcurl 的 CA 数据包括 CA 证书,但不包括链中的其他一些证书。我猜系统 curl 一定把这些证书藏在某个地方。

【讨论】:

您在哪里找到 CA 捆绑包? 找到了我的问题的答案。我正在使用 certbot v0.11.1,它将捆绑包安装在 /etc/letsencrypt/live/domain.com/fullchain.pem

以上是关于使用 Nginx 的 https SSL 证书验证因自定义构建的 libcurl+openssl 而失败,但适用于系统 curl的主要内容,如果未能解决你的问题,请参考以下文章

阿里云免费购买SSL证书,nginx无缝升级https

NGINX 配置 SSL 双向认证

使用SSL证书(Nginx在Centos中的使用)

LNMP-Nginx配置SSL

Linux-Nginx-ssl原理

宝塔面板如何部署启用ssl证书?