OpenSSL Troubleshooting

Ao utilizar o OpenSSL (incluindo em ambientes PHP, comandos openssl, comandos curl), pode-se encontrar o erro 20:unable to get local issuer certificate. Este é um problema comum e histórico do OpenSSL. Por razões de segurança, o OpenSSL não confia em nenhuma CA quando chamado diretamente, sendo necessário especificar CAFile ou CAPath. Este artigo apresentará como resolver esse problema, juntamente com exemplos de código em PHP, Python e Node.js.

Erro 20:unable to get local issuer certificate

Descrição do problema

Se ao usar o OpenSSL surgir o erro 20:unable to get local issuer certificate, isso ocorre porque o OpenSSL não conseguiu encontrar o certificado da autoridade emissora local. Para resolver este problema, deve-se especificar o CAFile ou CAPath.

Versão do OpenSSL no ServBay

De acordo com o tipo de chip utilizado pelo ServBay, a versão do OpenSSL pode variar:

• Versão Intel do ServBay: Utiliza a versão 1.1.1u do OpenSSL
• Versão Apple Silicon do ServBay: Utiliza a versão 3.2.1 do OpenSSL

Caminhos dos arquivos correspondentes

::: grupo-de-códigos

cafile=/Applications/ServBay/package/common/openssl/3.2/cacert.pem
capath=/Applications/ServBay/package/common/openssl/3.2/certs

cafile=/Applications/ServBay/package/common/openssl/1.1.1u/cacert.pem
capath=/Applications/ServBay/package/common/openssl/1.1.1u/certs

:::

Exemplo: Usando comando OpenSSL

Se ao executar o seguinte comando ocorrer um erro:

openssl s_client -quiet -connect gmail.com:443

Você pode ver uma saída de erro similar a esta:

Connecting to 172.217.163.37
depth=2 C=US, O=Google Trust Services LLC, CN=GTS Root R1
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=1 C=US, O=Google Trust Services, CN=WR2
verify return:1
depth=0 CN=gmail.com
verify return:1

Solução

Resolva este problema especificando o CAFile:

openssl s_client -quiet -connect gmail.com:443 -CAfile /Applications/ServBay/package/common/openssl/3.2/cacert.pem

Após a conexão bem-sucedida, a saída será:

Connecting to 172.217.163.37
depth=2 C=US, O=Google Trust Services LLC, CN=GTS Root R1
verify return:1
depth=1 C=US, O=Google Trust Services, CN=WR2
verify return:1
depth=0 CN=gmail.com
verify return:1

Exemplo: Usando OpenSSL em PHP

Se estiver usando OpenSSL em PHP, você pode resolver o problema modificando o arquivo php.ini ou adicionando a configuração no código.

Modificar php.ini

Na seção [openssl] do arquivo php.ini, adicione ou modifique o seguinte:

::: grupo-de-códigos

[openssl]
openssl.cafile=/Applications/ServBay/package/common/openssl/3.2/cacert.pem
openssl.capath=/Applications/ServBay/package/common/openssl/3.2/certs

[openssl]
openssl.cafile=/Applications/ServBay/package/common/openssl/1.1.1u/cacert.pem
openssl.capath=/Applications/ServBay/package/common/openssl/1.1.1u/certs

:::

Adicionar configuração no código

Você também pode especificar o CAFile diretamente no código PHP. Por exemplo:

<?php
$server = 'ssl0.ovh.net';
$port = 465;
// Caminho do arquivo de CA
$caCertFile = '/Applications/ServBay/package/common/openssl/3.2/cacert.pem';

$contextOptions = [
    'ssl' => [
        'verify_peer' => true,
        'verify_peer_name' => true,
        'allow_self_signed' => false,
        'cafile' => $caCertFile,
    ],
];

$context = stream_context_create($contextOptions);

$connection = @stream_socket_client(
    "ssl://$server:$port",
    $errno,
    $errstr,
    30,
    STREAM_CLIENT_CONNECT,
    $context
);

if ($connection) {
    echo "Conexão estabelecida com $server:$port\n";

    fwrite($connection, "EHLO example.com\r\n");
    while ($line = fgets($connection)) {
        echo $line;
    }

    fclose($connection);
} else {
    echo "Falha ao conectar com $server:$port. Erro: $errstr ($errno)\n";
}
?>

Exemplo: Usando OpenSSL em Python

Se estiver usando OpenSSL em Python, você pode especificar o CAFile diretamente no código. Por exemplo:

import ssl
import socket

server = 'ssl0.ovh.net'
port = 465
ca_cert_file = '/Applications/ServBay/package/common/openssl/3.2/cacert.pem'

context = ssl.create_default_context(cafile=ca_cert_file)

with socket.create_connection((server, port)) as sock:
    with context.wrap_socket(sock, server_hostname=server) as ssock:
        print(f"SSL estabelecido. Peer: {ssock.getpeercert()}")
        ssock.sendall(b"EHLO example.com\r\n")
        while True:
            data = ssock.recv(4096)
            if not data:
                break
            print(data.decode())

Exemplo: Usando OpenSSL em Node.js

Se estiver utilizando OpenSSL em Node.js, você pode especificar o CAFile diretamente no código. Por exemplo:

const tls = require('tls');
const fs = require('fs');

const server = 'ssl0.ovh.net';
const port = 465;
const caCertFile = '/Applications/ServBay/package/common/openssl/3.2/cacert.pem';

const options = {
  host: server,
  port: port,
  ca: fs.readFileSync(caCertFile),
  checkServerIdentity: () => { return null; } // Ignore server identity verification
};

const socket = tls.connect(options, () => {
  console.log('Conexão SSL estabelecida');
  socket.write("EHLO example.com\r\n");
});

socket.on('data', (data) => {
  console.log(data.toString());
});

socket.on('error', (error) => {
  console.error('Erro:', error);
});

Exemplo: Usando OpenSSL com o curl

Se encontrar problemas ao usar o comando curl, pode resolver especificando o CAFile:

curl --cacert /Applications/ServBay/package/common/openssl/3.2/cacert.pem https://example.com

Sumário

Ao utilizar o OpenSSL, se o erro 20:unable to get local issuer certificate for encontrado, deve-se especificar o CAFile ou CAPath para resolvê-lo. De acordo com o tipo de chip do dispositivo, localize o CAFile e CAPath correspondentes, e configure conforme necessário nos comandos OpenSSL, PHP, Python, Node.js ou curl.