curl: (60) SSL: no alternative certificate subject name matches target host name我不明白这个错误。如果我提供 CA 证书(带有
--cacert另一方面,如果我提供我的 server 证书,并用 CA 签名,它会显示:
SSL certificate problem: unable to get local issuer certificate.将 PEM 证书合并到一个文件中时,我遇到了相同的错误。
使用选项
--capathcurl: (60) SSL certificate problem: unable to get local issuer certificate如何进行信任检查?
(使用单个自签名服务器证书时有效。)
这里有两个不同且几乎不相关的事情。
对于使用 OpenSSL 的 curl,就像您的一样,root 证书(通常是 CA)必须位于
--cacert--capath并且,服务器发送的 server 证书(通常不是 CA 证书)必须包含(如果存在的话)SubjectAltName (SAN) 扩展名中的主机名,否则包含在 subject.CommonName (CN) 中的主机名,该主机名与您尝试访问的URL。如果服务器证书包含 SAN 扩展,但该扩展中没有条目与 URL 匹配,您会在标题中看到错误;参见例如Curl:修复 CURL (51) SSL 错误:没有替代证书主题名称匹配
自签名服务器证书与通常情况不同,因为它充当两者根证书和服务器证书,因此它必须同时位于
--cacert--capathPS:如果您无法确定服务器正在发送什么证书(可能是因为配置很复杂,或者不确定是否已重新启动或刷新),请使用
openssl s_client -connect $host:$port -servername $host 2>&1 | openssl x509 -noout -text
# if OpenSSL version 1.1.1 you can omit -servername $host
使用wget。
--ca-certificate=path/to/PEM/ca/cert