【證照】curl 和 java 請求報證照錯誤

易波葉平發表於2020-12-01

1. 說明：

以下：例子的域名因為工作環境的問題，被我拿自己的部落格域名替代了，所以無法進行模擬測試，請珍重，哈哈！

2. 環境：

centos：7.5

java jdk：1.8.0_74

3. curl 請求報錯

[root@test01 tmp]# curl "https://www.zhaouncle.com/api/v2/app/getBopomofo?source=%e8%b5%b5%e8%b6%99" 
curl: (60) Peer's Certificate issuer is not recognized.
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

3.1 解決辦法一，治本之法

3.1.1 Firefox 火狐瀏覽器

開啟 https://www.zhaouncle.com，然後依次點選以下操作

“?安全鎖圖示”——》“向右箭頭”——》“更多資訊”——》“檢視證照”——》“中間那個證照”，下載為 pem 檔案

3.1.2 進入 centos 系統

將下載的 pem 檔案放入/etc/pki/ca-trust/source/anchors 目錄，然後執行 update-ca-trust extract 命令

3.2 解決辦法二，治標

curl -k 或者 curl --insecure，在命令列上直接避免證照校驗

curl -k "https://www.zhaouncle.com/api/v2/app/getBopomofo?source=%e8%b5%b5%e8%b6%99" 
curl --insecure "https://www.zhaouncle.com/api/v2/app/getBopomofo?source=%e8%b5%b5%e8%b6%99"

3.3 解決辦法三，治標

3.3.1 wget 解決方法：

echo "check_certificate = off" >> ~/.wgetrc

3.3.2 curl 解決方法：

echo "insecure" >> ~/.curlrc

4. Java 和 curl 都請求證照錯誤

4.1 以下是 curl 報錯：

[centos@test01 ~]$ curl "https://www.zhaouncle.com/api/v2/app/getBopomofo?source=%e8%b5%b5%e8%b6%99"
curl: (60) Peer's Certificate issuer is not recognized.
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.
[centos@test01 ~]$ ping www.zhaouncle.com
PING www.zhaouncle.com (10.0.0.100) 56(84) bytes of data.
64 bytes from test01 (10.0.0.100): icmp_seq=1 ttl=64 time=262 ms
64 bytes from test01 (10.0.0.100): icmp_seq=2 ttl=64 time=262 ms
64 bytes from test01 (10.0.0.100): icmp_seq=3 ttl=64 time=262 ms
^C
--- www.zhaouncle.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 262.636/262.636/262.637/0.418 ms

4.2 以下是 java 請求 www 證照報錯

org.springframework.web.client.ResourceAccessException: I/O error on GET request for "https://www.zhaouncle.com/api/v2/app/getBopomofo": sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target; nested exception is javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

4.3 說明

4.3.1 疑問：大家肯定很好奇我為啥會 ping 域名，然後還是內網 ip？

解答：因為繫結了 hosts，然後請求的是內網 ip，於是走的是本地的 nginx，nginx 配置了證照，而不是外部的 cdn，如果是走外部請求走 cdn，curl 和 java 都不會報錯，因為 cdn 已經繫結了證照，這個證照上傳了證照鏈。哎，沒錯了，證照鏈。

4.3.2 何謂證照鏈

加速 https 需要上傳 SSL 證照，開啟公鑰 domain.com.crt ，發現裡面有 3 個證照：

證照鏈。一般是一個使用者證照，一箇中間證照，和一個根證照。

一般只需要 使用者證照+中間證照 就可以了, 根證照不用傳, 除非你這個證照鏈不是三級,而是有兩個中間證照.

一般來講，只有傳 使用者證照 才能正常工作，可以同時傳 使用者證照和中間證照 或者 使用者證照和中間證照和根證照

注意這些證照必須在同一個檔案裡面

格式如下：

-----BEGIN CERTIFICATE-----
MIIFSzCCBDOgAwIBAgIQHV3ex3xRLXOHkz2GjVAKrjANBgkqhkiG9w0BAQsFADCB
......後面省略，第一個是使用者證照
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIGCDCCA/CgAwIBAgIQKy5u6tl1NmwUim7bo3yMBzANBgkqhkiG9w0BAQwFADCB
......後面省略，第二個是中間證照
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIFdDCCBFygAwIBAgIQJ2buVutJ846r13Ci/ITeIjANBgkqhkiG9w0BAQwFADBv
......後面省略，第三個是根證照
-----END CERTIFICATE-----

4.3.3 解決：

解決方法：在哪 nginx 那裡把 www 的 crt 證照新增進中間證照，ok，就解決了所以問題，而且還不需要 步驟 3 但對對系統和命令列進行從處理，就可以解決問題。

參考：https://ep.gnt.md/index.php/curl-60-peers-certificate-issuer-is-not-recognized/

PHP中cURL錯誤號對照[轉]
2013-01-21
PHP
iOS APNS推送Java、c# P12證照和Php pem證照製作
2017-11-07
iOSJavaC#PHP
Java加密技術（八）——數字證照
2015-03-18
Java加密
有了證件照大師輕鬆在ps中做證件照
2020-12-02
java和C#使用證照對引數簽名、加密
2018-04-25
JavaC#加密
Java 獲取PDF數字簽名證照資訊
2021-11-19
Java
phpstudy apache 配置 https 證照
2019-09-13
PHPApacheHTTP
解決 Ajax 表單請求驗證失敗報 422 錯誤
2019-01-13
Laravel 解決 validate 驗證 Ajax 表單請求驗證失敗報 422 錯誤
2019-05-09
Laravel
.pfx證照檔案的PHP使用——RSA驗證機制
2017-08-25
PHP
五十個ICO專案將向泰國證券交易委員會申請執照
2018-08-18
【java細節】Java程式碼忽略https證照：No subject alternative names present
2019-03-26
JavaHTTP
基礎篇：java.security框架之簽名、加密、摘要及證照
2021-03-14
Java框架加密
java程式碼簽名證照適合什麼樣的場景
2022-11-29
Java
phpStudy安裝ssl證照 – HTTPS SSL 教程
2020-03-05
PHPHTTP
專業證件照製作：My Photo Pro for Mac
2023-12-21
Mac
curl模擬請求、登陸以及帶驗證碼登陸
2016-11-16
PHP curl 請求
2020-01-09
PHP
Android 修圖（換證件照背景，汙點修復）
2019-09-11
Android
phpstudy配置本地ssl證照，訪問https://127.0.0.1
2018-10-10
PHPHTTP127.0.0.1
java檔案對照工具
2017-05-26
Java
Android | 教你如何開發一個證件照DIY小程式
2020-05-06
Android
Android 最簡單的自定義證件照Mask之一
2019-01-09
Android
請求介面報錯
2021-07-19
使用 Laravel 請求類來驗證表單請求
2020-01-07
Laravel
[python][nginx][https] Nginx 伺服器 SSL 證照安裝部署
2022-03-07
PythonNginxHTTP伺服器
PHP curl 請求使用教程
2019-08-13
PHP
Laravel 使用 ApiToken 認證請求
2019-07-01
LaravelAPI
GOLANG Web請求引數驗證
2018-07-17
GolangWeb
使用 gorilla/mux 進行 HTTP 請求路由和驗證
2022-11-27
GoUXHTTP路由
NSURLErrorDomain 對照
2019-05-05
ErrorAI
ajax成功請求到後臺，但是前端報404錯誤
2018-05-28
前端
cURL實現傳送Get和Post請求(PHP)
2018-08-01
PHP
PHP中使用cURL實現Get和Post請求
2014-08-29
PHP
golang 版本的 curl 請求庫
2017-09-14
Golang
支付寶公鑰證照 PHP 版本 SDK（用於現金紅包等業務）
2019-10-19
PHP
超好用的ps外掛：Document Star證件照大師Mac中文版
2020-09-27
Mac
關於httpclient 請求https （如何繞過證書驗證）
2012-08-24
HTTPclient