了解“无法获取本地颁发者证书”错误

PHPz

发布时间：2024-09-03 13:20:16

1393人浏览过

来源于dev.to

转载

了解“无法获取本地颁发者证书”错误
在 SSL/TLS 领域，“无法获取本地颁发者证书”错误是开发人员和系统管理员在使用安全连接时遇到的常见障碍。当证书链无法完全验证时，通常会出现此错误，这意味着系统无法验证证书的真实性，因为它无法识别颁发者。了解此错误对于确保依赖 SSL/TLS 的 Web 应用程序、服务器和其他系统中的安全通信至关重要。
什么是 SSL/TLS？
SSL（安全套接字层）及其后继者 TLS（传输层安全性）是加密协议，旨在通过计算机网络提供安全通信。它们广泛用于保护网络流量、电子邮件和其他形式的通信。 SSL/TLS 的主要目的是确保通信会话中各方之间的隐私、数据完整性和身份验证。
SSL/TLS 依赖证书来建立信任。这些证书由称为证书颁发机构 (CA) 的受信任实体颁发。建立安全连接后，服务器将其证书提供给客户端，客户端根据受信任的 CA 列表验证该证书。如果证书有效并且 CA 受信任，则连接将继续。如果没有，可能会出现“无法获取本地颁发者证书”之类的错误。
证书链的剖析
证书链也称为证书路径，是一系列证书，其中链中的每个证书都由后续证书签名。该链从最终用户证书开始，一直到由 CA 自签名的根证书。证书链的典型结构包括：

最终用户证书：这是相关网站或服务的证书。
中间证书：这些证书弥补了最终用户证书和根证书之间的差距。它们由 CA 颁发，必须得到客户端的信任。
根证书：根证书是链中最顶层的证书，由 CA 自签名。它通常预安装在系统的证书存储中。为了使证书可信，从最终用户证书到根证书的整个链必须有效并被系统识别。如果该链中的任何环节丢失或无法识别，就会发生错误。是什么原因导致“无法获取本地颁发者证书”错误？当由于客户端无法在其信任存储中找到中间证书或根证书而无法验证服务器提供的证书时，会出现“无法获取本地颁发者证书”错误。有几个因素可能导致此错误：
缺少中级证书： o 如果服务器无法提供完整的证书链，客户端可能无法验证证书。当服务器仅发送最终用户证书而不包含中间证书时，这种情况很常见。
过时或不完整的证书存储： o 客户端的证书存储可能没有所需的中间证书或根证书。如果系统的证书存储已过时或尚未安装必要的证书，则可能会发生这种情况。
自签名证书： o 如果使用自签名证书并且客户端不信任该证书，则连接将失败并出现此错误。这在使用自签名证书用于测试目的的开发环境中经常出现。
配置不当： o 有时，服务器上的错误配置（例如证书文件的路径不正确）可能会导致服务器发送不完整或不正确的证书链。
过期证书： o 如果链中的任何证书已过期，客户端可能无法验证链，从而导致此错误。故障排除和解决错误要解决“无法获取本地颁发者证书”错误，可以根据根本原因采取几个步骤：
确保发送完整的证书链： o 服务器应配置为发送完整的证书链，包括最终用户证书和所有中间证书。这通常是通过将证书连接到单个文件中或确保服务器软件配置为引用所有必要的证书来完成的。
更新客户端的证书存储： o 如果客户端的证书存储已过时，则应使用最新证书进行更新。在大多数操作系统上，这可以通过包管理器或系统更新来完成。例如，在 Linux 上，更新 ca-certificates 包可以刷新证书存储。
手动添加缺少的证书： o 如果特定的中间证书或根证书丢失，可以将它们手动添加到客户端的证书存储中。这是通过从 CA 网站获取丢失的证书并将其安装到信任存储中来完成的。
检查过期证书： o 使用 OpenSSL 等工具检查链中证书的有效性。如果任何证书已过期，则必须更新或更换。
使用正确的服务器配置： o 确保服务器已正确配置为指向正确的证书文件。检查服务器的 SSL/TLS 配置以验证证书路径是否正确设置以及文件是否可访问。
切换到受信任的 CA： o 如果自签名证书导致问题，请考虑改用受信任 CA 颁发的证书。现在许多服务都提供免费的 SSL/TLS 证书（例如 Let's Encrypt），大多数客户可以轻松安装和识别该证书。诊断错误的工具有几种工具可以帮助诊断和修复“无法获取本地颁发者证书”错误：
OpenSSL： o OpenSSL 是一种广泛使用的工具，用于管理 SSL/TLS 证书并进行故障排除。像 openssl s_client -connect 这样的命令可用于检查服务器提供的证书链。
SSL 实验室 SSL 测试： o SSL 实验室 SSL 测试是一项在线服务，可分析服务器的 SSL/TLS 配置并提供有关证书链和潜在问题的详细信息。
使用详细选项进行卷曲： o 命令行工具 Curl 与 -v 选项一起使用时，可以深入了解 SSL/TLS 握手过程并查明证书验证失败的位置。
浏览器开发工具： o 现代网络浏览器附带包括安全面板在内的开发人员工具。这些可用于检查任何网站的证书链并识别丢失或不受信任的证书。结论 “无法获取本地颁发者证书”错误是使用 SSL/TLS 时出现的常见问题，特别是在安全通信至关重要的环境中。通过了解证书链的结构以及导致此错误的因素，您可以有效地诊断和解决问题。无论是更新客户端的证书存储、确保发送完整的证书链，还是切换到受信任的 CA，都有多种策略可以缓解此问题并确保安全、可靠的通信。

解决Next.js应用在Vercel部署时遇到的SWC平台兼容性错误

如何构建一个跨平台的Electron桌面应用？

如何利用JavaScript构建跨平台的桌面应用，如Electron？

怎么在 Firefox 开发者工具中查看 js 执行情况

Vue项目图片Windows下无法加载，Linux下正常：如何排查及解决？

相关专题

curl_exec

curl_exec函数是PHP cURL函数列表中的一种，它的功能是执行一个cURL会话。给大家总结了一下php curl_exec函数的一些用法实例，这个函数应该在初始化一个cURL会话并且全部的选项都被设置后被调用。他的返回值成功时返回TRUE，或者在失败时返回FALSE。

441

2023.06.14

linux常见下载安装工具

linux常见下载安装工具有APT、YUM、DNF、Snapcraft、Flatpak、AppImage、Wget、Curl等。想了解更多linux常见下载安装工具相关内容，可以阅读本专题下面的文章。

178

2023.10.30

SSL检测工具介绍

SSL检测工具有SSL Labs、SSL Check、SSL Server Test、SSLMate、SSL/TLS Analyzer等。详细介绍：1、SSL Labs是一个由Qualys提供的在线SSL检测工具，可以评估服务器证书的部署情况、加密套件、协议支持等方面的安全性，它提供了一个详细的报告，包括证书的颁发者、有效期、安全性配置等；2、SSL Check等等。

338

2023.10.20

磁盘配额是什么

磁盘配额是计算机中指定磁盘的储存限制，就是管理员可以为用户所能使用的磁盘空间进行配额限制，每一用户只能使用最大配额范围内的磁盘空间。php中文网为大家提供各种磁盘配额相关的内容，教程，供大家免费下载安装。

1415

2023.06.21

如何安装LINUX

本站专题提供如何安装LINUX的相关教程文章，还有相关的下载、课程，大家可以免费体验。

706

2023.06.29

linux find

find是linux命令，它将档案系统内符合 expression 的档案列出来。可以指要档案的名称、类别、时间、大小、权限等不同资讯的组合，只有完全相符的才会被列出来。find根据下列规则判断 path 和 expression，在命令列上第一个 - ( ) , ! 之前的部分为 path，之后的是 expression。还有指DOS 命令 find，Excel 函数 find等。本站专题提供linux find相关教程文章，还有相关

296

2023.06.30