Устранение неисправностей OpenSSL

При использовании OpenSSL (включая окружение PHP, команду openssl, команду curl) можно столкнуться с ошибкой 20:unable to get local issuer certificate. Это распространенная историческая проблема OpenSSL. По соображениям безопасности, OpenSSL не доверяет никаким CA при прямом вызове, требуя указания CAFile или CAPath. В данной статье рассматривается, как решить эту проблему, представлен пример кода на PHP, Python и Node.js.

Ошибка 20:unable to get local issuer certificate

Описание проблемы

Если при использовании OpenSSL появляется ошибка 20:unable to get local issuer certificate, это означает, что OpenSSL не может найти локальный сертификат издателя. Решение этой проблемы — указать CAFile или CAPath.

Версии OpenSSL в ServBay

Версии OpenSSL в зависимости от типа используемого чипа в ServBay:

• Версия для чипов Intel: используется версия OpenSSL 1.1.1u
• Версия для чипов Apple Silicon: используется версия OpenSSL 3.2.1

Соответствующие пути к файлам

Apple Silicon

cafile=/Applications/ServBay/package/common/openssl/3.2/cacert.pem
capath=/Applications/ServBay/package/common/openssl/3.2/certs

Intel

cafile=/Applications/ServBay/package/common/openssl/1.1.1u/cacert.pem
capath=/Applications/ServBay/package/common/openssl/1.1.1u/certs

Пример: использование команды OpenSSL

Если при выполнении следующей команды возникает ошибка:

openssl s_client -quiet -connect gmail.com:443

Вы можете увидеть следующий вывод ошибок:

Connecting to 172.217.163.37
depth=2 C=US, O=Google Trust Services LLC, CN=GTS Root R1
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=1 C=US, O=Google Trust Services, CN=WR2
verify return:1
depth=0 CN=gmail.com
verify return:1

Решение

Указание CAFile для решения этой проблемы:

openssl s_client -quiet -connect gmail.com:443 -CAfile /Applications/ServBay/package/common/openssl/3.2/cacert.pem

После успешного подключения вывод будет таким:

Connecting to 172.217.163.37
depth=2 C=US, O=Google Trust Services LLC, CN=GTS Root R1
verify return:1
depth=1 C=US, O=Google Trust Services, CN=WR2
verify return:1
depth=0 CN=gmail.com
verify return:1

Пример: использование OpenSSL в PHP

При использовании OpenSSL в PHP это можно решить, изменив файл php.ini или добавив соответствующую настройку в коде.

Изменение php.ini

В разделе [openssl] файла php.ini, добавьте или измените следующие строки:

Apple Silicon

[openssl]
openssl.cafile=/Applications/ServBay/package/common/openssl/3.2/cacert.pem
openssl.capath=/Applications/ServBay/package/common/openssl/3.2/certs

Intel

[openssl]
openssl.cafile=/Applications/ServBay/package/common/openssl/1.1.1u/cacert.pem
openssl.capath=/Applications/ServBay/package/common/openssl/1.1.1u/certs

Добавление настроек в коде

Вы также можете указать CAFile в коде PHP. Например:

<?php
$server = 'ssl0.ovh.net';
$port = 465;
// Путь к файлу CA
$caCertFile = '/Applications/ServBay/package/common/openssl/3.2/cacert.pem';

$contextOptions = [
    'ssl' => [
        'verify_peer' => true,
        'verify_peer_name' => true,
        'allow_self_signed' => false,
        'cafile' => $caCertFile,
    ],
];

$context = stream_context_create($contextOptions);

$connection = @stream_socket_client(
    "ssl://$server:$port",
    $errno,
    $errstr,
    30,
    STREAM_CLIENT_CONNECT,
    $context
);

if ($connection) {
    echo "Соединение установлено с $server:$port\n";
    
    fwrite($connection, "EHLO example.com\r\n");
    while ($line = fgets($connection)) {
        echo $line;
    }
    
    fclose($connection);
} else {
    echo "Не удалось подключиться к $server:$port. Ошибка: $errstr ($errno)\n";
}
?>

Пример: использование OpenSSL в Python

При использовании OpenSSL в Python, вы можете указать CAFile в коде. Например:

import ssl
import socket

server = 'ssl0.ovh.net'
port = 465
ca_cert_file = '/Applications/ServBay/package/common/openssl/3.2/cacert.pem'

context = ssl.create_default_context(cafile=ca_cert_file)

with socket.create_connection((server, port)) as sock:
    with context.wrap_socket(sock, server_hostname=server) as ssock:
        print(f"SSL установлено. Сервер: {ssock.getpeercert()}")
        ssock.sendall(b"EHLO example.com\r\n")
        while True:
            data = ssock.recv(4096)
            if not data:
                break
            print(data.decode())

Пример: использование OpenSSL в Node.js

При использовании OpenSSL в Node.js вы можете указать CAFile в коде. Например:

const tls = require('tls');
const fs = require('fs');

const server = 'ssl0.ovh.net';
const port = 465;
const caCertFile = '/Applications/ServBay/package/common/openssl/3.2/cacert.pem';

const options = {
  host: server,
  port: port,
  ca: fs.readFileSync(caCertFile),
  checkServerIdentity: () => { return null; } // Игнорируем проверку идентификации сервера
};

const socket = tls.connect(options, () => {
  console.log('SSL соединение установлено');
  socket.write("EHLO example.com\r\n");
});

socket.on('data', (data) => {
  console.log(data.toString());
});

socket.on('error', (error) => {
  console.error('Ошибка:', error);
});

Пример: использование OpenSSL в curl

Если при использовании команды curl возникают проблемы, можно решить их указанием CAFile:

curl --cacert /Applications/ServBay/package/common/openssl/3.2/cacert.pem https://example.com

Заключение

При использовании OpenSSL, если возникает ошибка 20:unable to get local issuer certificate, ее можно решить указанием CAFile или CAPath. В зависимости от типа используемого устройства найдите соответствующие пути к CAFile и CAPath и настройте их в командах OpenSSL, на PHP, Python, Node.js или в конфигурации curl.