Resolución de problemas de OpenSSL

Al utilizar OpenSSL (incluido en entorno PHP, comando openssl, comando curl), puede encontrarse con el mensaje de error 20:unable to get local issuer certificate. Este es un problema común y antiguo de OpenSSL. Por razones de seguridad, OpenSSL no confía en ninguna CA cuando se llama directamente; necesita especificar CAFile o CAPath. Este artículo explicará cómo solucionar este problema y proporcionará ejemplos de código en PHP, Python y Node.js.

Mensaje de error 20:unable to get local issuer certificate

Descripción del problema

Si encuentra el mensaje de error 20:unable to get local issuer certificate al usar OpenSSL, esto se debe a que OpenSSL no puede encontrar el certificado de la autoridad certificadora local. La solución a este problema es especificar CAFile o CAPath.

Versiones de OpenSSL en ServBay

Dependiendo del tipo de chip que use en ServBay, la versión de OpenSSL puede variar:

• Versión de chip Intel de ServBay: utiliza la versión 1.1.1u de OpenSSL
• Versión de chip Apple Silicon de ServBay: utiliza la versión 3.2.1 de OpenSSL

Rutas de archivos correspondientes

Apple Silicon

cafile=/Applications/ServBay/package/common/openssl/3.2/cacert.pem
capath=/Applications/ServBay/package/common/openssl/3.2/certs

Intel

cafile=/Applications/ServBay/package/common/openssl/1.1.1u/cacert.pem
capath=/Applications/ServBay/package/common/openssl/1.1.1u/certs

Ejemplo: Uso del comando OpenSSL

Si aparece un error al ejecutar el siguiente comando:

openssl s_client -quiet -connect gmail.com:443

Puede ver una salida de error como la siguiente:

Connecting to 172.217.163.37
depth=2 C=US, O=Google Trust Services LLC, CN=GTS Root R1
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=1 C=US, O=Google Trust Services, CN=WR2
verify return:1
depth=0 CN=gmail.com
verify return:1

Solución

Puede solucionar este problema especificando CAFile:

openssl s_client -quiet -connect gmail.com:443 -CAfile /Applications/ServBay/package/common/openssl/3.2/cacert.pem

Después de conectarse con éxito, verá una salida como la siguiente:

Connecting to 172.217.163.37
depth=2 C=US, O=Google Trust Services LLC, CN=GTS Root R1
verify return:1
depth=1 C=US, O=Google Trust Services, CN=WR2
verify return:1
depth=0 CN=gmail.com
verify return:1

Ejemplo: Uso de OpenSSL en PHP

Si está utilizando OpenSSL en PHP, puede solucionar el problema modificando el archivo php.ini o agregando la configuración correspondiente en el código.

Modificación de php.ini

En la sección [openssl] del archivo php.ini, agregue o modifique lo siguiente:

Apple Silicon

[openssl]
openssl.cafile=/Applications/ServBay/package/common/openssl/3.2/cacert.pem
openssl.capath=/Applications/ServBay/package/common/openssl/3.2/certs

Intel

[openssl]
openssl.cafile=/Applications/ServBay/package/common/openssl/1.1.1u/cacert.pem
openssl.capath=/Applications/ServBay/package/common/openssl/1.1.1u/certs

Agregar configuración en el código

También puede especificar CAFile en el código PHP. Por ejemplo:

<?php
$server = 'ssl0.ovh.net';
$port = 465;
// Ruta del archivo CA
$caCertFile = '/Applications/ServBay/package/common/openssl/3.2/cacert.pem';

$contextOptions = [
    'ssl' => [
        'verify_peer' => true,
        'verify_peer_name' => true,
        'allow_self_signed' => false,
        'cafile' => $caCertFile,
    ],
];

$context = stream_context_create($contextOptions);

$connection = @stream_socket_client(
    "ssl://$server:$port",
    $errno,
    $errstr,
    30,
    STREAM_CLIENT_CONNECT,
    $context
);

if ($connection) {
    echo "Conexión establecida con $server:$port\n";
    
    fwrite($connection, "EHLO example.com\r\n");
    while ($line = fgets($connection)) {
        echo $line;
    }
    
    fclose($connection);
} else {
    echo "Fallo al conectar con $server:$port. Error: $errstr ($errno)\n";
}
?>

Ejemplo: Uso de OpenSSL en Python

Si está utilizando OpenSSL en Python, puede especificar CAFile en el código. Por ejemplo:

import ssl
import socket

server = 'ssl0.ovh.net'
port = 465
ca_cert_file = '/Applications/ServBay/package/common/openssl/3.2/cacert.pem'

context = ssl.create_default_context(cafile=ca_cert_file)

with socket.create_connection((server, port)) as sock:
    with context.wrap_socket(sock, server_hostname=server) as ssock:
        print(f"Conexión SSL establecida. Par: {ssock.getpeercert()}")
        ssock.sendall(b"EHLO example.com\r\n")
        while True:
            data = ssock.recv(4096)
            if not data:
                break
            print(data.decode())

Ejemplo: Uso de OpenSSL en Node.js

Si está utilizando OpenSSL en Node.js, puede especificar CAFile en el código. Por ejemplo:

const tls = require('tls');
const fs = require('fs');

const server = 'ssl0.ovh.net';
const port = 465;
const caCertFile = '/Applications/ServBay/package/common/openssl/3.2/cacert.pem';

const options = {
  host: server,
  port: port,
  ca: fs.readFileSync(caCertFile),
  checkServerIdentity: () => { return null; } // Ignore la verificación de identidad del servidor
};

const socket = tls.connect(options, () => {
  console.log('Conexión SSL establecida');
  socket.write("EHLO example.com\r\n");
});

socket.on('data', (data) => {
  console.log(data.toString());
});

socket.on('error', (error) => {
  console.error('Error:', error);
});

Ejemplo: Uso de OpenSSL en curl

Si encuentra problemas al utilizar el comando curl, puede solucionarlo especificando CAFile:

curl --cacert /Applications/ServBay/package/common/openssl/3.2/cacert.pem https://example.com

Resumen

Al utilizar OpenSSL, si encuentra el error 20:unable to get local issuer certificate, puede solucionarlo especificando CAFile o CAPath. Dependiendo del tipo de chip de su dispositivo, ubique la ruta correspondiente a CAFile y CAPath, y configúrela en los comandos de OpenSSL, PHP, Python, Node.js o curl según sea necesario.