事情源于一次项目调用第三方接口,协议是https。在国庆前都是好好的,突然假期最后一天领导说访问不了网页了,忙去查看下日志,发现报证书过期,第一反应是接口提供方的域名证书过期了,但是后来本地调用又发现正常,后经过以下排查发现并解决了问题
问题
项目是用php开发的,由于php的guzzle工具是依赖于服务器的curl,所以curl模拟一波,果然重现了问题
请求
curl -H “Content-Type:application/json” -X POST –data ‘{“param1”:1}’ https://openapi.xxx.cn/api/getData
报错
curl: (60) SSL certificate problem: certificate has expired
解决方案
很明显,提示证书过期时,由于已经本地测试过几乎可以排除对方证书过期的问题,那么很明显是服务器环境的问题
方案一
关闭对证书的验证【-k】,虽然马上就不报错了,但是这种方式只是应急的,生产环境并不可取
curl -H "Content-Type:application/json" -X POST --data '{"param1":1}' https://openapi.xxx.cn/api/getData -k
{"data":null,"resultCode":-102,"resultMsg":"该请求已过期"}
方案二
基本可以确定是服务器本地的证书过旧,需要下载最新的【http://curl.haxx.se/ca/cacert.pem 】,以下提供本地mac环境和服务器centos环境下的解决过程
mac
curl-config --ca //尝试获取证书位置,但是我这边返回了空,问题不大,继续curl -v看下具体信息
curl http://xxx -v //查看报错原因,得知mac下读取的证书文件位置是在[/etc/ssl/cert.pem ]
ls -l /etc/ssl/cert.pem
-rw-r--r-- 1 /etc/ssl/cert.pem //这里直接是个文件,权限是644
cp /etc/ssl/cert.pem /etc/ssl/cert.bak.pem //备份原文件
curl -o ./cacert.pem "http://curl.haxx.se/ca/cacert.pem" -L -v //下载最新的证书。-L是为了跟踪重定向,-v是为了查看具体信息
cp ./cacert.pem /etc/ssl/cert.pem //替换原文件,到此完成
centos
curl-config --ca //尝试获取证书位置,得知centos下读取的证书文件位置是在[/etc/pki/tls/certs/ca-bundle.crt]
ll /etc/pki/tls/certs/ca-bundle.crt
lrwxrwxrwx 1 root root /etc/pki/tls/certs/ca-bundle.crt -> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem //这里是个软连接,权限是777
mv /etc/pki/tls/certs/ca-bundle.crt /etc/pki/tls/certs/ca-bundle.bak.crt //备份原文件
curl -o ./cacert.pem "http://curl.haxx.se/ca/cacert.pem" -L -v //下载最新的证书。-L是为了跟踪重定向,-v是为了查看具体信息
cp ~/cacert.pem /etc/pki/ca-trust/extracted/pem/20211008-ca-bundle.pem //先存放到这个目录下
ln -s /etc/pki/ca-trust/extracted/pem/20211008-ca-bundle.pem /etc/pki/tls/certs/ca-bundle.crt //和原文件一样,创建软连接,到此完成