问小白 wenxiaobai
资讯
历史
科技
环境与自然
成长
游戏
财经
文学与艺术
美食
健康
家居
文化
情感
汽车
三农
军事
旅行
运动
教育
生活
星座命理

HTTPS域名443端口证书到期问题排查与解决

创作时间:
作者:
@小白创作中心

HTTPS域名443端口证书到期问题排查与解决

引用
CSDN
1.
https://blog.csdn.net/qq_33665793/article/details/145413192

在现代Web开发中,HTTPS协议广泛用于确保客户端和服务器之间的通信安全。然而,HTTPS依赖于SSL/TLS证书来加密通信并验证网站的身份。当证书过期时,客户端可能会遇到连接错误。本文将介绍如何排查和解决因证书过期引起的问题,尤其是如何处理以下错误: 

uploadStreamError: RequestCoreException: cURL error: Peer's Certificate has expired. (60)

错误分析

错误提示

错误信息中 cURL error: Peer's Certificate has expired. (60) 显示的是与证书相关的问题。这表示服务器端的SSL/TLS证书已经过期,导致无法建立安全的HTTPS连接。
Peer's Certificate has expired 表明,连接到的服务器的证书日期已经超过了有效期。

触发错误的场景

这种错误通常在以下几种情况下发生:

  1. 证书到期:SSL/TLS证书的有效期过期,服务器无法提供有效的证书。
  2. 客户端的证书验证配置问题:客户端的证书验证未配置正确,可能导致忽略某些证书错误,或者验证不通过。
  3. 服务器证书链不完整:有时服务器可能没有正确配置证书链,导致客户端无法验证证书。
  4. 中间证书丢失:服务器上缺少适当的中间证书,导致证书验证失败。

排查步骤

步骤1:确认证书是否过期

首先,检查目标网站的SSL/TLS证书是否过期。你可以使用以下方法:

  1. 浏览器检查:在浏览器中访问网站并查看证书信息。大部分现代浏览器允许你点击地址栏左侧的锁图标,查看证书的详细信息,其中会显示证书的有效期。
  2. OpenSSL检查:使用 openssl 命令行工具来查看证书信息。
openssl s_client -connect example.com:443

该命令会连接到服务器并显示服务器的证书信息,包括有效期。
3. 在线工具:你也可以使用一些在线工具,如 SSL Labs,来测试服务器证书是否过期以及其他SSL配置问题。

步骤2:检查客户端证书验证配置

如果证书未过期,但仍然收到上述错误,可能是客户端的cURL配置存在问题。确保客户端的 cURL 配置正确,能够正确验证证书。

  1. 禁用证书验证:如果你想暂时绕过验证,可以通过 -k--insecure 标志来禁用证书验证。这应该只在测试环境中使用,不建议在生产环境中使用。
curl -k https://example.com
  1. 更新CA证书库:如果客户端缺少正确的根证书或者证书链不完整,可以尝试更新CA证书库。对于Linux系统,可以使用如下命令更新:
sudo apt-get update  
sudo apt-get install --reinstall ca-certificates

步骤3:检查服务器证书链

确保服务器的SSL证书链配置正确。服务器需要提供完整的证书链,包括根证书和所有中间证书。你可以使用如下命令来查看服务器的证书链: 

openssl s_client -connect example.com:443 -showcerts

确保所有中间证书都已正确安装。

步骤4:更新或更换过期证书

如果确认证书已经过期,最直接的解决方法是更新服务器上的SSL/TLS证书。你可以从受信任的证书颁发机构(CA)获取新的证书并进行安装。具体步骤如下:

  1. 购买新证书:从受信任的证书颁发机构(如 Let's Encrypt、GlobalSign、DigiCert等)购买或申请新的SSL证书。
  2. 安装证书:根据服务器类型(如Apache、Nginx、IIS等)安装新的证书。每个Web服务器的安装方法稍有不同。
  • Apache: 修改配置文件,指定证书和密钥路径:
SSLCertificateFile /path/to/certificate.crt  
SSLCertificateKeyFile /path/to/private.key  
SSLCertificateChainFile /path/to/chainfile.pem
  • Nginx: 在配置文件中指定证书和私钥路径:
ssl_certificate /path/to/certificate.crt;  
ssl_certificate_key /path/to/private.key;
  1. 重启Web服务器:配置完成后,重启Web服务器以使新证书生效。

解决方法

更新证书

  1. 如果证书已过期,首先申请新的证书,安装并配置正确的证书链。
  2. 在客户端,确保使用最新的根证书库,并在可能的情况下,禁用证书验证来暂时绕过问题。

配置cURL

如果是cURL客户端问题,可以通过以下步骤进行修复:

  1. 确保cURL与正确的CA证书一起使用
    将CA证书路径传递给cURL:
curl --cacert /path/to/ca-certificates.crt https://example.com
  1. 禁用证书验证(不推荐在生产环境中使用):
curl -k https://example.com

结论

遇到 cURL error: Peer's Certificate has expired. (60) 错误时,首先检查证书是否过期。如果证书过期,更新证书并确保服务器正确配置证书链。如果是客户端问题,检查客户端的证书验证配置,确保使用最新的根证书库。通过这些步骤,你应该能够顺利排查并解决HTTPS证书过期问题。

热门推荐
© 2023 北京元石科技有限公司 ◎ 京公网安备 11010802042949号