草庐IT

更新证书后,Ruby Net::HTTP 响应 OpenSSL::SSL::SSLError "certificate verify failed"

coder 2025-07-14 原文

我们最近更新了我们网站的 SSL 证书,在 Mac OS El Capitan 10.11.3 上出现以下情况:

require 'net/http'

Net::HTTP.get URI('https://www.google.com')
# => "<HTML>...</HTML>"

# The site whose certificate got renewed
Net::HTTP.get URI('https://www.example.com')
# => OpenSSL::SSL::SSLError: SSL_connect returned=1 errno=0 state=error: certificate verify failed

我在 Google 和 StackOverflow 上的所有搜索都得出了表明 Ruby 安装有问题的答案,但它们似乎与旧的 Ruby 版本有关,我认为这里不是这种情况。这是我尝试过的:

  • 酿造更新
  • brew upgrade openssl
  • rvm osx-ssl-certs 全部更新
  • rvm install ruby​​-2.3.1 --disable-binary --with-openssl-dir="$(brew --prefix openssl)"(我之前没有这个版本)
  • rvm 要求
  • crlrefresh rpv 根据 Uzbekjon 的建议清除 OSX 系统范围的 CRL 缓存。

我该如何解决?

注意事项:

  • 问题不会出现在新安装的带有裸露的 Ruby 2.2.3 的 Linux Docker 容器上。所以可能与 Mac 操作系统或 SSL 本地缓存有关。
  • 此问题可能在证书续订之前就已存在。我不能确定。然而,正如我在 this question 中讨论的那样,续订确实导致了我们正在使用的第三方的类似问题。 .
  • Namecheap 验证证书安装正确,在线检查器显示一切正常,所有主要浏览器都显示证书有效。

解决方案

在 BoraMa 的大力帮助下,现在很清楚发生了什么。 COMODO 添加了一个名为 COMODO RSA Certification Authority 的新根,而不是之前的 COMODO Certification Authority。新根未在 Mac 的钥匙串(keychain)中注册,导致此问题。

我们尝试调试它的一种方法是运行:

openssl s_client -connect www.mysite.com:443

显示警告 verify error:num=20:unable to get local issuer certificate。此警告不是问题,因为 openssl s_client 默认不使用任何证书。下载证书后运行以下命令可以防止警告 from COMODO进入comodo.pem(索引here):

openssl s_client -connect www.mysite.com:443 -CAfile comodo.pem

但是,这不能也没有影响 Ruby OpenSSL 接口(interface)。 This article让事情对我来说更清楚了,SSL doctor script它的作者创建的也很有帮助,因为它证实了这个假设。文章建议查看 OpenSSL::X509::DEFAULT_CERT_FILE,对我来说是 /usr/local/etc/openssl/cert.pem。我的机器上不存在该文件,这意味着 Apple 的 OpendSSL 补丁正在使用 Keychain App。无论出于何种原因,将 comodo.pem 导入我的钥匙串(keychain)并根据 this post 将其标记为受信任没用。

因此,解决方案是手动创建 cert.pem 文件。我转到钥匙串(keychain)应用程序,并将所有系统根证书导出到 system_root.pem。然后:cat system_root.pem comodo.pem > cert.pem 并将该文件移动到 /usr/local/etc/openssl/ 就可以了。在 Ruby 中运行 Net::HTTP.get 不再失败。

最佳答案

如果可信证书库包含 COMODO_RSA_Certification_Authority.pem 证书,我会尝试仔细检查它。在我的(Linux)设置中,该站点工作正常但是当我暂时从证书存储中删除 COMODO 证书颁发机构的证书时,我得到与您完全相同的错误(而在浏览器中它仍然有效,因为它们有自己的证书存储).

顺便说一句,使用 curl 也可以识别相同的错误,因为它似乎也使用与 ruby​​ 相同的受信任证书存储,因此您可能首先确保该站点在 curl 下工作。

在 linux 中,证书存储通常位于 /etc/ssl/certs 而在 OSX 下它可能应该是 /System/Library/OpenSSL(参见 this article其他选项)。

您应该在证书存储目录中看到类似以下内容:

root@apsara:/etc/ssl/certs$ ls -l | grep COMODO_RSA_Certification_Authority.pem
lrwxrwxrwx 1 root root     73 úno 28 10:24 COMODO_RSA_Certification_Authority.pem -> /usr/share/ca-certificates/mozilla/COMODO_RSA_Certification_Authority.crt
lrwxrwxrwx 1 root root     38 úno 28 10:24 d4c339cb.0 -> COMODO_RSA_Certification_Authority.pem
lrwxrwxrwx 1 root root     38 úno 28 10:24 d6325660.0 -> COMODO_RSA_Certification_Authority.pem

以下是此根 CA 证书的一些属性的片段:

$ openssl x509 -in COMODO_RSA_Certification_Authority.pem -noout -text
Certificate:
Data:
    Version: 3 (0x2)
    Serial Number:
        4c:aa:f9:ca:db:63:6f:e0:1f:f7:4e:d8:5b:03:86:9d
Signature Algorithm: sha384WithRSAEncryption
    Issuer: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority
    Validity
        Not Before: Jan 19 00:00:00 2010 GMT
        Not After : Jan 18 23:59:59 2038 GMT
    Subject: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority
    Subject Public Key Info:
        Public Key Algorithm: rsaEncryption
            Public-Key: (4096 bit)
            Modulus:
                00:91:e8:54:92:d2:0a:56:b1:ac:0d:24:dd:c5:cf:
                ...
            Exponent: 65537 (0x10001)
    X509v3 extensions:
        X509v3 Subject Key Identifier: 
            BB:AF:7E:02:3D:FA:A6:F1:3C:84:8E:AD:EE:38:98:EC:D9:32:32:D4
        X509v3 Key Usage: critical
            Certificate Sign, CRL Sign
        X509v3 Basic Constraints: critical
            CA:TRUE
Signature Algorithm: sha384WithRSAEncryption
     ...

证书可以从Comodo here下载(所有证书的索引都是here)。

更多信息:在调查时,事实证明 Comodo CA 实际上有两个不同的证书认证链。一个是较旧的,是具有上面列出的根 CA 的那个。较新的验证链在链中使用“外部 CA 根”证书。 This forum post 进一步解释,针对 OSX 的具体说明,用于将这些证书标记为受信任。

关于更新证书后,Ruby Net::HTTP 响应 OpenSSL::SSL::SSLError "certificate verify failed",我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36966650/

书后certificatecodeCOMODOCertificationrubysslopensslssl-certificatenet-http

有关更新证书后,Ruby Net::HTTP 响应 OpenSSL::SSL::SSLError "certificate verify failed"的更多相关文章

  1. ruby-on-rails - rails : "missing partial" when calling 'render' in RSpec test - 2

    我正在尝试测试是否存在表单。我是Rails新手。我的new.html.erb_spec.rb文件的内容是:require'spec_helper'describe"messages/new.html.erb"doit"shouldrendertheform"dorender'/messages/new.html.erb'reponse.shouldhave_form_putting_to(@message)with_submit_buttonendendView本身,new.html.erb,有代码:当我运行rspec时,它失败了:1)messages/new.html.erbshou

  2. ruby-on-rails - 由于 "wkhtmltopdf",PDFKIT 显然无法正常工作 - 2

    我在从html页面生成PDF时遇到问题。我正在使用PDFkit。在安装它的过程中,我注意到我需要wkhtmltopdf。所以我也安装了它。我做了PDFkit的文档所说的一切......现在我在尝试加载PDF时遇到了这个错误。这里是错误:commandfailed:"/usr/local/bin/wkhtmltopdf""--margin-right""0.75in""--page-size""Letter""--margin-top""0.75in""--margin-bottom""0.75in""--encoding""UTF-8""--margin-left""0.75in""-

  3. ruby-on-rails - 如何验证 update_all 是否实际在 Rails 中更新 - 2

    给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru

  4. ruby - 检查 "command"的输出应该包含 NilClass 的意外崩溃 - 2

    为了将Cucumber用于命令行脚本,我按照提供的说明安装了arubagem。它在我的Gemfile中,我可以验证是否安装了正确的版本并且我已经包含了require'aruba/cucumber'在'features/env.rb'中为了确保它能正常工作,我写了以下场景:@announceScenario:Testingcucumber/arubaGivenablankslateThentheoutputfrom"ls-la"shouldcontain"drw"假设事情应该失败。它确实失败了,但失败的原因是错误的:@announceScenario:Testingcucumber/ar

  5. ruby - 如何模拟 Net::HTTP::Post? - 2

    是的,我知道最好使用webmock,但我想知道如何在RSpec中模拟此方法:defmethod_to_testurl=URI.parseurireq=Net::HTTP::Post.newurl.pathres=Net::HTTP.start(url.host,url.port)do|http|http.requestreq,foo:1endresend这是RSpec:let(:uri){'http://example.com'}specify'HTTPcall'dohttp=mock:httpNet::HTTP.stub!(:start).and_yieldhttphttp.shou

  6. ruby-on-rails - 使用 rails 4 设计而不更新用户 - 2

    我将应用程序升级到Rails4,一切正常。我可以登录并转到我的编辑页面。也更新了观点。使用标准View时,用户会更新。但是当我添加例如字段:name时,它​​不会在表单中更新。使用devise3.1.1和gem'protected_attributes'我需要在设备或数据库上运行某种更新命令吗?我也搜索过这个地方,找到了许多不同的解决方案,但没有一个会更新我的用户字段。我没有添加任何自定义字段。 最佳答案 如果您想允许额外的参数,您可以在ApplicationController中使用beforefilter,因为Rails4将参数

  7. ruby-on-rails - 迷你测试错误 : "NameError: uninitialized constant" - 2

    我遵循MichaelHartl的“RubyonRails教程:学习Web开发”,并创建了检查用户名和电子邮件长度有效性的测试(名称最多50个字符,电子邮件最多255个字符)。test/helpers/application_helper_test.rb的内容是:require'test_helper'classApplicationHelperTest在运行bundleexecraketest时,所有测试都通过了,但我看到以下消息在最后被标记为错误:ERROR["test_full_title_helper",ApplicationHelperTest,1.820016791]test

  8. ruby-on-rails - 相关表上的范围为 "WHERE ... LIKE" - 2

    我正在尝试从Postgresql表(table1)中获取数据,该表由另一个相关表(property)的字段(table2)过滤。在纯SQL中,我会这样编写查询:SELECT*FROMtable1JOINtable2USING(table2_id)WHEREtable2.propertyLIKE'query%'这工作正常:scope:my_scope,->(query){includes(:table2).where("table2.property":query)}但我真正需要的是使用LIKE运算符进行过滤,而不是严格相等。然而,这是行不通的:scope:my_scope,->(que

  9. 使用 ACL 调用 upload_file 时出现 Ruby S3 "Access Denied"错误 - 2

    我正在尝试编写一个将文件上传到AWS并公开该文件的Ruby脚本。我做了以下事情:s3=Aws::S3::Resource.new(credentials:Aws::Credentials.new(KEY,SECRET),region:'us-west-2')obj=s3.bucket('stg-db').object('key')obj.upload_file(filename)这似乎工作正常,除了该文件不是公开可用的,而且我无法获得它的公共(public)URL。但是当我登录到S3时,我可以正常查看我的文件。为了使其公开可用,我将最后一行更改为obj.upload_file(file

  10. ruby-on-rails - 每次我尝试部署时,我都会得到 - (gcloud.preview.app.deploy) 错误响应 : [4] DEADLINE_EXCEEDED - 2

    我是Google云的新手,我正在尝试对其进行首次部署。我的第一个部署是RubyonRails项目。我基本上是在关注thisguideinthegoogleclouddocumentation.唯一的区别是我使用的是我自己的项目,而不是他们提供的“helloworld”项目。这是我的app.yaml文件runtime:customvm:trueentrypoint:bundleexecrackup-p8080-Eproductionconfig.ruresources:cpu:0.5memory_gb:1.3disk_size_gb:10当我转到我的项目目录并运行gcloudprevie

随机推荐