ubuntu - openssl/wget 仅在我明确指定 ca 目录时才工作-6ren

ubuntu - openssl/wget 仅在我明确指定 ca 目录时才工作

转载作者：太空宇宙更新时间：2023-11-03 13:20:24

24

4

如果我尝试使用 openssl 或 wget 而未明确传递 ca 目录，则证书无法验证。我想让 ubuntu 回到原始状态，轻松验证像 google.com 这样的正常网站。是否有我需要设置的环境变量，或者我需要启用符号链接(symbolic link)才能正确配置？

chris@chris:~$ wget --ca-directory=/etc/ssl/certs https://google.com
--2019-04-13 12:42:12--  https://google.com/
Resolving google.com (google.com)... 172.217.4.206, 2607:f8b0:4009:807::200e
Connecting to google.com (google.com)|172.217.4.206|:443... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: https://www.google.com/ [following]
--2019-04-13 12:42:12--  https://www.google.com/
Resolving www.google.com (www.google.com)... 172.217.4.36, 2607:f8b0:4009:80f::2004
Connecting to www.google.com (www.google.com)|172.217.4.36|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: ‘index.html.5’

index.html.5                                      [ <=>                                                                                             ]  11.07K  --.-KB/s    in 0.004s

2019-04-13 12:42:12 (2.88 MB/s) - ‘index.html.5’ saved [11340]

chris@chris:~$ wget https://google.com
--2019-04-13 12:42:19--  https://google.com/
Resolving google.com (google.com)... 172.217.4.206, 2607:f8b0:4009:807::200e
Connecting to google.com (google.com)|172.217.4.206|:443... connected.
ERROR: cannot verify google.com's certificate, issued by ‘CN=Google Internet Authority G3,O=Google Trust Services,C=US’:
  Unable to locally verify the issuer's authority.
To connect to google.com insecurely, use `--no-check-certificate'.

如果我没有显式传入 -CApath，这与 openssl 的行为相同

-----END CERTIFICATE-----
subject=/C=US/ST=California/L=Mountain View/O=Google LLC/CN=www.google.com
issuer=/C=US/O=Google Trust Services/CN=Google Internet Authority G3
---
No client certificate CA names sent
Peer signing digest: SHA256
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 2962 bytes and written 261 bytes
Verification error: unable to get local issuer certificate
---

最佳答案

这解决了我的问题

导出 SSL_CERT_DIR=/etc/ssl/certs

关于ubuntu - openssl/wget 仅在我明确指定 ca 目录时才工作，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/55668236/

24

4

0

文章推荐： java - LibGdx - 安装Android项目

文章推荐： android - ViewHolder ImageView setVisibility 重复

文章推荐： c# - 如何在 C# 中获取修改后的文本框值？

java - 可以使用根 CA 或祖父 CA 验证证书而不使用父 CA
我正在尝试在 Java 中执行此操作，但我认为这是一个一般证书问题。我有一个根CA，一个由根CA颁发的中间CA1，一个由中间CA1颁发的中间CA2，以及一个由中间CA2颁发的证书。 rootCA ->
java - 信任 CA 和父 CA，但不信任其他派生 CA。 Java应用程序
编辑 1:https://security.stackexchange.com/questions/83972/trust-ca-and-parent-ca-but-not-other-derivat
ruby - 为什么 "CA"["CA"] 是真的？
我正在使用“任何？” block 中的方法。该片段正在字符串中查找字符串“CA”(拆分)检查: region="CA" check="AU,US,UK,CA,ZA" if check.split(',
SpringBoot, Hibernate and AWS RDS (Aurora) with new CA rds-ca-ecc384-g1(SpringBoot、休眠和AWS RDS(Aurora)以及新的CA rds-ca-ecc384-G1)
我有一个SpringBoot应用程序，它使用以下配置与PostgreSQL通信，通过AWS Beanstrik部署：。在我将AWS Aurora证书更新为rds-ca-ecc384-g1之前，一切都很
openssl - FreeIPA 外部 CA(中间 CA)
我们正在使用我们现有的 CA 进行 freeipa 安装。在安装过程中，会生成 CSR，并且必须由 CA 签名才能创建证书。这个证书必须有 X509v3 Basic Constraints: CA:T
apache - 如何使用第三方 CA-NOT 自签名 CA 生成客户端证书
我正在尝试导出客户端证书以供网络浏览器使用。目标是使用指令限制对管理区域的访问。我看过很多关于使用自签名 CA 的教程。你会如何使用第三方来做到这一点？ 1) 如果它是受信任的根 CA，我是否需要
c# - 区分根 CA 和中间 CA 证书
我已经设法弄清楚 x509Certificate2Collection 中的证书是否是证书颁发机构证书，但我如何才能安全地确定它是根证书还是中间证书？以下是否足够安全？ var collection
hyperledger-fabric - 无法使用结构中的 ca 服务器生成的 ca 文件启动排序器
我使用 fabric-ca-sdk(fabric-sdk-java/fabric-sdk-java/src/test/fixture/sdkintegration) 中的测试代码启动 ca 服务器。并
ssl - CA 证书仅添加在 ca-bundle-trust.crt
环境: Red Hat Enterprise Linux Server release 7.7 (Maipo) # openssl version OpenSSL 1.0.2g 1 Mar 2016
kubernetes - Kubernetes 集群 CA 证书和 ca 证书私钥的路径
导出 K8s 集群 CA 证书和 CA 私钥团队，我有一个 Kubernetes 集群正在运行。我将一次又一次地删除和创建它，所以我想一直重复使用相同的 CA 证书，我需要保存 CA 证书和 key
c++ - "unknown ca"带有自生成的 CA、证书和客户端/服务器
我正在编写一个自定义客户端和服务器，我想通过公共(public) Internet 安全地进行通信，因此我想使用 OpenSSL 并让两端进行对等验证以确保我的客户端不会被 MITM 误导，同样，未经
ubuntu - 在没有 ca-certificates 包的情况下将受信任的 CA 添加到 ubuntu
问题: 我想构建一个 docker 容器 FROM:ubuntu:20.04但我无法访问外部互联网我在内部网络上有一个 apt 镜像，可以使用 apt 镜像位于 https 后面，带有自定义证书我
linux - 编写一个命令来终止名称包含 "ca"的第一个进程？必须杀死名称中包含 "ca"的第一个进程，而不是其他进程？
Linux 的新手，正在尝试了解更多，我遇到了这种情况。我已经尝试使用 ps 命令并使用 grep 来捕获“ca”，但它会返回每次出现的“ca”，无论它来自什么，它实际上对我没有帮助。我已经尝试过
.net - .NET 中的 TLS - 第三方根 CA 未被识别为受信任的根 CA
我正在尝试在我的 .NET 应用程序和我安装了第三方根 CA 证书和中间 CA 证书的网站之间建立 TLS 连接: ServicePointManager.SecurityProtocol = Sec
java - 导入根 CA 或中间 CA 而不是单个公共(public)证书
SSL 证书永远不会让我眼花缭乱。我有一个网络应用程序，它从合作伙伴那里对另一项服务进行休息调用以获取某些数据。他们使用为公司生成的自签名或内部 CA。问题是每当另一端更新 SSL 证书时，我的应用程
security - 带有证书固定的移动应用程序 - DMZ 框上的 SSL 证书与受信任的 CA 对比我自己的 CA
我正在开发一个带有证书固定的移动应用程序。我将在 DMZ 中有一个盒子来代理我的请求。该服务器是否应该拥有来自可信 CA 的证书，还是我可以使用我自己的 CA 生成的证书？从移动客户端使用受信任的
ssl - acivemq、安全 websockets、CA、安全和同源限制 - 如何安装 CA 证书？
有没有人设法将 CA 证书安装到 activemq 实例中？我一直在进行谷歌搜索并阅读 activemq 文档，但我没有找到任何关于如何在 activemq 中使用预先存在的 CA 证书的信息。我假
ssl - openssl ca vs openssl x509(openssl ca 命令在证书上注册的不一样？)
openssl ca 和 openssl x509 命令有什么区别？我正在使用它来创建和签署我的 root-ca、intermed-ca 和客户端证书，但是 openssl ca 命令不会在证书上注册
security - WebLogic 上的(内部)CA 签名证书和我机器上的相同 CA 证书(公钥)。浏览器仍然不信任
在 keystore 中创建私钥和自签名证书 keytool -genkey -alias mydomain -keystore mydomain.ks -dname cn=mydomain.com
ssl - ca-certificates on a raspberry pi 3 - update-ca-certificates 图和错误
我的 Raspberry Pi 3 出了点问题。我不得不运行 fsck.ext3，但是很多包都损坏了，例如 python 等。现在，ca-certificates 不会重新安装。每当它运行 updat

首页

博学

6Ren·AI

商城

ubuntu - openssl/wget 仅在我明确指定 ca 目录时才工作