OpenSSL故障排除
在使用OpenSSL时(包括在PHP环境、openssl命令、curl命令),可能会遇到错误提示20:unable to get local issuer certificate。这是一个常见的OpenSSL历史遗留问题。出于安全原因,OpenSSL在直接调用时不信任任何的CA,需要专门指定CAFile或CAPath。本文将介绍如何解决该问题,并提供PHP、Python、Node.js的相关代码示例。
错误提示20:unable to get local issuer certificate
问题描述
如果在使用OpenSSL时出现错误提示20:unable to get local issuer certificate,这是因为OpenSSL无法找到本地的颁发机构证书。解决这个问题的方法是指定CAFile或CAPath。
ServBay中的OpenSSL版本
根据ServBay使用的芯片类型,OpenSSL版本有所不同:
- Intel芯片版本的ServBay:使用OpenSSL 1.1.1u版本
- Apple Silicon芯片版本的ServBay:使用OpenSSL 3.2.1版本
对应的文件路径
ini
cafile=/Applications/ServBay/package/common/openssl/3.2/cacert.pem
capath=/Applications/ServBay/package/common/openssl/3.2/certs1
2
2
ini
cafile=/Applications/ServBay/package/common/openssl/1.1.1u/cacert.pem
capath=/Applications/ServBay/package/common/openssl/1.1.1u/certs1
2
2
示例:使用OpenSSL命令
如果在执行以下命令时出现错误:
bash
openssl s_client -quiet -connect gmail.com:4431
您可能会看到如下错误输出:
bash
Connecting to 172.217.163.37
depth=2 C=US, O=Google Trust Services LLC, CN=GTS Root R1
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=1 C=US, O=Google Trust Services, CN=WR2
verify return:1
depth=0 CN=gmail.com
verify return:11
2
3
4
5
6
7
8
2
3
4
5
6
7
8
解决方法
通过指定CAFile来解决该问题:
bash
openssl s_client -quiet -connect gmail.com:443 -CAfile /Applications/ServBay/package/common/openssl/3.2/cacert.pem1
成功连接后,输出如下:
bash
Connecting to 172.217.163.37
depth=2 C=US, O=Google Trust Services LLC, CN=GTS Root R1
verify return:1
depth=1 C=US, O=Google Trust Services, CN=WR2
verify return:1
depth=0 CN=gmail.com
verify return:11
2
3
4
5
6
7
2
3
4
5
6
7
示例:在PHP中使用OpenSSL
如果在PHP中使用OpenSSL,可以通过修改php.ini文件或在代码中添加相应的配置来解决问题。
修改php.ini
在php.ini文件的[openssl]部分,添加或修改以下内容:
ini
[openssl]
openssl.cafile=/Applications/ServBay/package/common/openssl/3.2/cacert.pem
openssl.capath=/Applications/ServBay/package/common/openssl/3.2/certs1
2
3
2
3
ini
[openssl]
openssl.cafile=/Applications/ServBay/package/common/openssl/1.1.1u/cacert.pem
openssl.capath=/Applications/ServBay/package/common/openssl/1.1.1u/certs1
2
3
2
3
在代码中添加配置
您也可以在PHP代码中指定CAFile。例如:
php
<?php
$server = 'ssl0.ovh.net';
$port = 465;
// CA file path
$caCertFile = '/Applications/ServBay/package/common/openssl/3.2/cacert.pem';
$contextOptions = [
'ssl' => [
'verify_peer' => true,
'verify_peer_name' => true,
'allow_self_signed' => false,
'cafile' => $caCertFile,
],
];
$context = stream_context_create($contextOptions);
$connection = @stream_socket_client(
"ssl://$server:$port",
$errno,
$errstr,
30,
STREAM_CLIENT_CONNECT,
$context
);
if ($connection) {
echo "Connection established to $server:$port\n";
fwrite($connection, "EHLO example.com\r\n");
while ($line = fgets($connection)) {
echo $line;
}
fclose($connection);
} else {
echo "Failed to connect to $server:$port. Error: $errstr ($errno)\n";
}
?>1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
示例:在Python中使用OpenSSL
如果在Python中使用OpenSSL,可以在代码中指定CAFile。例如:
python
import ssl
import socket
server = 'ssl0.ovh.net'
port = 465
ca_cert_file = '/Applications/ServBay/package/common/openssl/3.2/cacert.pem'
context = ssl.create_default_context(cafile=ca_cert_file)
with socket.create_connection((server, port)) as sock:
with context.wrap_socket(sock, server_hostname=server) as ssock:
print(f"SSL established. Peer: {ssock.getpeercert()}")
ssock.sendall(b"EHLO example.com\r\n")
while True:
data = ssock.recv(4096)
if not data:
break
print(data.decode())1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
示例:在Node.js中使用OpenSSL
如果在Node.js中使用OpenSSL,可以在代码中指定CAFile。例如:
javascript
const tls = require('tls');
const fs = require('fs');
const server = 'ssl0.ovh.net';
const port = 465;
const caCertFile = '/Applications/ServBay/package/common/openssl/3.2/cacert.pem';
const options = {
host: server,
port: port,
ca: fs.readFileSync(caCertFile),
checkServerIdentity: () => { return null; } // 忽略服务器身份验证
};
const socket = tls.connect(options, () => {
console.log('SSL connection established');
socket.write("EHLO example.com\r\n");
});
socket.on('data', (data) => {
console.log(data.toString());
});
socket.on('error', (error) => {
console.error('Error:', error);
});1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
示例:在curl中使用OpenSSL
如果在使用curl命令时遇到问题,可以通过指定CAFile来解决:
bash
curl --cacert /Applications/ServBay/package/common/openssl/3.2/cacert.pem https://example.com1
总结
在使用OpenSSL时,如果遇到20:unable to get local issuer certificate错误,可以通过指定CAFile或CAPath来解决。根据设备的芯片类型,找到相应的CAFile和CAPath路径,并在OpenSSL命令、PHP、Python、Node.js或curl配置中进行设置。