OpenSSLトラブルシューティング

OpenSSLを使用する際（PHP環境、opensslコマンド、curlコマンドを含む）、20:unable to get local issuer certificateというエラーメッセージに出会うことがあります。これは一般的なOpenSSLの歴史的な問題です。セキュリティ上の理由から、OpenSSLは直接呼び出す際に任意のCAを信頼せず、CAFileまたはCAPathを指定する必要があります。本稿では、この問題を解決する方法を紹介し、PHP、Python、Node.jsの関連コード例を提供します。

20:unable to get local issuer certificateエラーメッセージ

問題の説明

OpenSSLを使用する際に20:unable to get local issuer certificateというエラーメッセージが表示された場合、これはOpenSSLがローカルの発行機関（CA）証明書を見つけられないことを意味します。この問題を解決する方法は、CAFileまたはCAPathを指定することです。

ServBayにおけるOpenSSLのバージョン

ServBayが使用しているチップの種類により、OpenSSLのバージョンは異なります：

• IntelチップバージョンのServBay：OpenSSL 1.1.1uバージョンを使用
• Apple SiliconチップバージョンのServBay：OpenSSL 3.2.1バージョンを使用

対応するファイルパス

Apple Silicon

cafile=/Applications/ServBay/package/common/openssl/3.2/cacert.pem
capath=/Applications/ServBay/package/common/openssl/3.2/certs

Intel

cafile=/Applications/ServBay/package/common/openssl/1.1.1u/cacert.pem
capath=/Applications/ServBay/package/common/openssl/1.1.1u/certs

例：OpenSSLコマンドの使用

次のコマンドを実行する際にエラーが発生した場合：

openssl s_client -quiet -connect gmail.com:443

以下のようなエラーメッセージが表示されるかもしれません：

Connecting to 172.217.163.37
depth=2 C=US, O=Google Trust Services LLC, CN=GTS Root R1
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=1 C=US, O=Google Trust Services, CN=WR2
verify return:1
depth=0 CN=gmail.com
verify return:1

解決方法

CAFileを指定することでこの問題を解決します：

openssl s_client -quiet -connect gmail.com:443 -CAfile /Applications/ServBay/package/common/openssl/3.2/cacert.pem

正常に接続されると、次のように表示されます：

Connecting to 172.217.163.37
depth=2 C=US, O=Google Trust Services LLC, CN=GTS Root R1
verify return:1
depth=1 C=US, O=Google Trust Services, CN=WR2
verify return:1
depth=0 CN=gmail.com
verify return:1

例：PHPでOpenSSLを使用

PHPでOpenSSLを使用する場合、php.iniファイルを変更するかコードに適切な設定を追加して問題を解決できます。

php.iniの変更

php.iniファイルの[openssl]セクションに次の内容を追加または変更します：

Apple Silicon

[openssl]
openssl.cafile=/Applications/ServBay/package/common/openssl/3.2/cacert.pem
openssl.capath=/Applications/ServBay/package/common/openssl/3.2/certs

Intel

[openssl]
openssl.cafile=/Applications/ServBay/package/common/openssl/1.1.1u/cacert.pem
openssl.capath=/Applications/ServBay/package/common/openssl/1.1.1u/certs

コードに設定を追加

PHPコードでCAFileを指定することもできます。例えば：

<?php
$server = 'ssl0.ovh.net';
$port = 465;
// CAファイルパス
$caCertFile = '/Applications/ServBay/package/common/openssl/3.2/cacert.pem';

$contextOptions = [
    'ssl' => [
        'verify_peer' => true,
        'verify_peer_name' => true,
        'allow_self_signed' => false,
        'cafile' => $caCertFile,
    ],
];

$context = stream_context_create($contextOptions);

$connection = @stream_socket_client(
    "ssl://$server:$port",
    $errno,
    $errstr,
    30,
    STREAM_CLIENT_CONNECT,
    $context
);

if ($connection) {
    echo "Connection established to $server:$port\n";
    
    fwrite($connection, "EHLO example.com\r\n");
    while ($line = fgets($connection)) {
        echo $line;
    }
    
    fclose($connection);
} else {
    echo "Failed to connect to $server:$port. Error: $errstr ($errno)\n";
}
?>

例：PythonでOpenSSLを使用

PythonでOpenSSLを使用する場合、コードでCAFileを指定します。例えば：

import ssl
import socket

server = 'ssl0.ovh.net'
port = 465
ca_cert_file = '/Applications/ServBay/package/common/openssl/3.2/cacert.pem'

context = ssl.create_default_context(cafile=ca_cert_file)

with socket.create_connection((server, port)) as sock:
    with context.wrap_socket(sock, server_hostname=server) as ssock:
        print(f"SSL established. Peer: {ssock.getpeercert()}")
        ssock.sendall(b"EHLO example.com\r\n")
        while True:
            data = ssock.recv(4096)
            if not data:
                break
            print(data.decode())

例：Node.jsでOpenSSLを使用

Node.jsでOpenSSLを使用する場合、コードでCAFileを指定します。例えば：

const tls = require('tls');
const fs = require('fs');

const server = 'ssl0.ovh.net';
const port = 465;
const caCertFile = '/Applications/ServBay/package/common/openssl/3.2/cacert.pem';

const options = {
  host: server,
  port: port,
  ca: fs.readFileSync(caCertFile),
  checkServerIdentity: () => { return null; } // サーバーの識別を無視
};

const socket = tls.connect(options, () => {
  console.log('SSL connection established');
  socket.write("EHLO example.com\r\n");
});

socket.on('data', (data) => {
  console.log(data.toString());
});

socket.on('error', (error) => {
  console.error('Error:', error);
});

例：curlでOpenSSLを使用

curlコマンドを使用して問題が発生した場合、CAFileを指定して解決できます：

curl --cacert /Applications/ServBay/package/common/openssl/3.2/cacert.pem https://example.com

まとめ

OpenSSLを使用する際に20:unable to get local issuer certificateエラーが発生した場合、CAFileまたはCAPathを指定することで問題を解決できます。デバイスのチップの種類に応じて、対応するCAFileおよびCAPathのパスを見つけ、OpenSSLコマンド、PHP、Python、Node.js、またはcurlの設定で指定します。