那些遇到过的问题

SSL 证书适用于 chrome 但不适用于 openssl s_client 或 curl

Jas*_*lin 7 openssl ssl-certificate curl ubuntu-14.04

几天前,谷歌浏览器更新到版本 58 开始使我的自签名证书无效。它在抱怨失踪subjectAltNames。我做了一些研究并尝试了一些建议(不起作用),但后来找到了这篇文章,这是我唯一可以工作的文章。

还是我?

Yay chrome 现在正在接受我新生成和导入的证书,我正在路上,

直到,我点击了我的PHP网络应用程序中的一个页面,该页面需要从同一台开发机器上的另一个微网络服务加载数据。

stream_socket_client():SSL 操作失败,代码为 1。 OpenSSL 错误消息:错误:14090086:SSL 例程:ssl3_get_server_certificate:

我已经在谷歌上搜索和修改了大约 4 个小时,但我无法理解它。

为什么 chrome 接受我的证书。无论其工具一样curlopenssl s_client全部给我unable to verify the first certificateinvalid certificate?我曾尝试将证书作为参数传递,但显然仍然无效。

使用 curl 和 openssl 将证书文件作为参数进行调试继续给我这个错误

SSL 证书验证结果:无法获取本地颁发者证书 (20),

我想我到一天结束时会完全秃顶。

笔记

  • 虚拟机是我的本地开发环境,所以我有多个域,它们有自己的证书和密钥

  • VM 位于 IP 192.168.33.10 上。这意味着 chrome 没有访问本地主机。但是 curl 和 openssl s_clinet 正在尝试访问 locahost

  • 服务器是运行 ubuntu 14.04 的虚拟机

  • 在带有 MMC(微软管理控制台)的主机上安装自签名证书

  • 错误肯定来自试图访问 Web 服务的客户端类。

  • 我曾尝试将证书作为参数传递,但显然仍然无效。

  • 我完全知道我可以将 verify peer 设置为 false 或将 --insecure 传递给请求,但我没有从中学到任何东西。

  • SSL 会话:协议:TLSv1.2

  • 跑去sudo dpkg-reconfigure ca-certificates更新证书

  • 跑了 sudo update_ca_ccertificates

  • 我已经达到了 9000 级的挫败感

恢复更新

我在关闭 v3 扩展的情况下重新生成了一个新证书,并返回到 chrome 告诉我subjectAltName丢失了但 curl 正在工作。我需要弄清楚如何生成 curl 和 chrome 都可以接受的证书。

Jas*_*lin 2

找到了一个更清晰的教程,该教程更简单openssl.conf。在我最初尝试添加SANs 时,我必须在conf中添加未注释的额外行,这些行向证书添加额外信息,导致冲突。按照这个模板,我的证书可以正常工作:

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req

[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = US
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = MN
localityName = Locality Name (eg, city)
localityName_default = Minneapolis
organizationalUnitName  = Organizational Unit Name (eg, section)
organizationalUnitName_default  = Domain Control Validated
commonName = Internet Widgits Ltd
commonName_max  = 64

[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = kb.example.com
DNS.2 = helpdesk.example.org
DNS.3 = systems.example.net
IP.1 = 192.168.1.1
IP.2 = 192.168.69.14
Run Code Online (Sandbox Code Playgroud)

感谢您的评论@garethTheRed。您的评论帮助我重新思考调试此问题的方法。

即使在这里开始发帖也能帮助我列出我已经尝试过的内容,并帮助大脑想出更多可能的解决方案。

归档时间:

查看次数:

3766 次

最近记录:

8 年,4 月 前
相关归档
Debian jessie nginx with openssl 1.0.2 使用 ALPN 而不是 NPN 14
4562605504:错误:0909006C:PEM 例程:get_name:无起始行:crypto/pem/pem_lib.c:745:预期:受信任的证书 12
使用 OpenSSL s_client 通过 SSL 连接到 PostgreSQL 8
负载均衡器或服务器上的 SSL 证书 6
在 Apache 的不同位置下可能有不同的 SSLCACertificateFiles(客户端 ssl 证书) 5
在 Ubuntu 上安装 Composer 4
在下拉列表中找不到 SSL 证书 - IIS 7 3
通过中间服务器卷曲 3
为什么这个 PEM 文件无效? 1
购买的 ssl 证书上的 ssl 地址不匹配 0
难疑归档
Shell 命令监视文件中的更改 192
我如何要求 apt-get 跳过任何交互式安装后配置步骤? 168
有时 PowerShell 会停止发送输出,直到我按 Enter。为什么? 139
在不使用缓存的情况下强制 dig 解析 127
清除所有 iptables 规则的最佳方法 122
如何获取当前 svn repo 的 url? 91
如何修复“发送邮件:授权失败 534 5.7.14” 67
如何从客户端测试 LDAP 连接 61
使用 ansible 部署一个包含模板文件的文件夹 56
php cli内存限制 52