centos curl openssl，openssh下载

很多朋友对于centos curl openssl和openssh下载不太懂，今天就由小编来为大家分享，希望可以帮助到大家，下面一起来看看吧！

centos的curl默认nss造成忽略证书选项返回77错误

在使用php7.1调用curl时，若发现忽略证书无效且返回curlerrorno=77错误，这可能是由于系统自带的curl并未使用openssl导致。

为判断是否确实如此，可进行以下步骤验证：

1.首先，明确当前系统中的curl是否使用openssl。此信息通常可通过查找系统库文件或使用命令行工具获取。在终端输入`ldd/usr/bin/curl`，检查依赖库是否包含openssl。

2.若结果显示curl未使用openssl，可确认问题根源。

为解决此问题，建议采取以下措施：

1.重新下载并编译安装curl版本，确保其集成openssl。在安装过程中，应注意选择包含openssl支持的curl版本。

2.完成安装后，重启php-fpm服务，以确保新版本的curl在php环境中有效运行。

通过上述步骤，应能有效解决使用php7.1调用curl时忽略证书无效的问题，避免返回curlerrorno=77错误。若操作后问题依旧，建议再次检查系统环境与curl版本配置。

Linux中使用curl命令访问https站点4种常见错误和解决方法

每一种客户端在处理https的连接时都会使用不同的证书库。IE浏览器和FireFox浏览器都可以在本浏览器的控制面板中找到证书管理器。在证书管理器中可以自由添加、删除根证书。

而Linux的curl使用的证书库在文件“/etc/pki/tls/certs/ca-bundle.crt”中。（CentOS）

以下是curl在访问https站点时常见的报错信息

1.Peer’s Certificate issuer is not recognized

复制代码代码如下:

[root@ip-172-31-32-208 Nginx]# curl

curl:(60) Peer's Certificate issuer is not recognized.

more details here:

此种情况多发生在自签名的证书，报错含义是签发证书机构未经认证，无法识别。

解决办法是将签发该证书的私有CA公钥cacert.pem文件内容，追加到/etc/pki/tls/certs/ca-bundle.crt。

我们在访问12306.cn订票网站时也报了类似的错误。

复制代码代码如下:

[root@ip-172-31-32-208~]# curl

curl:(60) Peer's certificate issuer has been marked as not trusted by the user.

More details here:

2.SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

复制代码代码如下:

[root@GO-EMAIL-1 aa]# curl

curl:(60) SSL certificate problem, verify that the CA cert is OK. Details:

error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

More details here:

此问题多是由于本地CA证书库过旧，导致新签发证书无法识别。

经排查，github.com证书是由GTE CyberTrust Root签发,现行证书时间是：

1.不早于(1998/8/13 0:29:00 GMT)

2.不晚于(2018/8/13 23:59:00 GMT)

而在我们的Redhat5.3系统中ca-bundle.crt文件发现，GTE CyberTrust Root的时间已经过期。

复制代码代码如下:

Issuer: C=US, O=GTE Corporation, CN=GTE CyberTrust Root

Validity

Not Before: Feb 23 23:01:00 1996 GMT

Not After: Feb 23 23:59:00 2006 GMT

解决办法是更新本地CA证书库。

方法一：

下载替换/etc/pki/tls/certs/ca-bundle.crt

方法二：

使用update-ca-trust更新CA证书库。（CentOS6，属于ca-certificates包）

3.unknown message digest algorithm

复制代码代码如下:

[root@WEB_YF_2.7~]#curl

curl:(35) error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message digest algorithm

此问题多由证书本地openssl不能识别SSL证书签名算法所致。www.alipay.com使用了SHA-256 RSA加密算法。而openssl在OpenSSL 0.9.8o才加入此算法。

解决办法是升级本地openssl。

在我的操作系统RedHat5.3中,yum升级openssl到openssl-0.9.8e-22.el5就可以识别SHA-256算法。原因是Redhat每次都是给0.9.8e打补丁，而不是直接更换版本。在srpm包中我找到了这个补丁。

复制代码代码如下:

Summary: The OpenSSL toolkit

Name: openssl

Version: 0.9.8e

...

Patch89: openssl-fips-0.9.8e-ssl-sha256.patch

4.JAVA和PHP的问题

java和php都可以编程来访问https网站。例如httpclient等。

其调用的CA根证书库并不和操作系统一致。

JAVA的CA根证书库是在 JRE的$JAVA_HOME/jre/lib/security/cacerts，该文件会随着JRE版本的升级而升级。可以使用keytool工具进行管理。

PHP这边我没有进行测试，从php安装curl组件的过程来看，极有可能就是直接采用的操作系统curl一直的数据。

当然PHP也提供了 curl.cainfo参数(php.ini)来指定CA根证书库的位置。

PHP Curl出现403错误怎么办

使用curl抓网页下来处理，为了穿墙方便，使用Privoxy作为代理，便于选择哪些网站使用proxy、哪些不用。但今天却遇到了奇怪的问题，访问googlebaidu这些网站居然都返回403错误，而访问其他的一些网站没事，如果设置为不使用proxy则都能正常访问。

难道googlebaidu就不让用proxy连接么？显然不可能，所以打开curl的信息输出（curl_setopt($this->mSh,CURLOPT_VERBOSE,1);）看看，得到以下结果：

.代码如下:

*Trying127.0.0.1...*connected

*Connectedto127.0.0.1(127.0.0.1)port8118(#0)

*EstablishHTTPproxytunneltowww.baidu.com:80

>CONNECTwww.baidu.com:80HTTP/1.0

Host:www.baidu.com:80

User-Agent:Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.1;SV1)

Proxy-Connection:Keep-Alive

<HTTP/1.0403Connectionnotallowable

<X-Hint:Ifyoureadthismessageinteractively,thenyouknowwhythishappens,-)

<

*TherequestedURLreturnederror:403

*ReceivedHTTPcode403fromproxyafterCONNECT

*Closingconnection#0

...Failed.

可以看到proxy服务器工作正常，的确是baidu返回了403错误，但原因肯定还在我这边。终于，从网上（1of2,2of2）得到了点启发──我使用的是proxytunnel而非proxy。

在代码中，有这么一句：

.代码如下:

curl_setopt($this->mSh,CURLOPT_HTTPPROXYTUNNEL,true);

curl_setopt($this->mSh,CURLOPT_PROXY,$phost);

php文档中没有详细说明，不过mancurl中有详细解释，两者都是代理，proxytunnel（-p参数）允许其他协议通过http代理传输，而proxy（-x参数）则只能走http协议。所以我猜测，googlebaidu的服务器和curl的proxytunnel不和，所以返回403。

禁用掉上面2行代码的第一句后，curl访问恢复正常。

比较奇怪的是，几种操作系统下还不一样，一台MACOSX就要显式的禁用proxytunnel才可以，curl版本：

.代码如下:

$curl--version

curl7.16.3(powerpc-apple-darwin9.0)libcurl/7.16.3OpenSSL/0.9.7lzlib/1.2.3

Protocols:tftpftptelnetdictldaphttpfilehttpsftps

Features:GSS-NegotiateIPv6LargefileNTLMSSLlibz

而另外一台ubuntu则完全不受影响，怎么都能用，curl版本：

.代码如下:

$curl--version

curl7.18.2(i486-pc-linux-gnu)libcurl/7.18.2OpenSSL/0.9.8gzlib/1.2.3.3libidn/1.10

Protocols:tftpftptelnetdictldapldapshttpfilehttpsftps

Features:GSS-NegotiateIDNIPv6LargefileNTLMSSLlibz

MT主机上的centos也没事，curl版本：

.代码如下:

$curl--version

curl7.15.5(i686-redhat-linux-gnu)libcurl/7.15.5OpenSSL/0.9.8bzlib/1.2.3libidn/0.6.5

Protocols:tftpftptelnetdictldaphttpfilehttpsftps

Features:GSS-NegotiateIDNIPv6LargefileNTLMSSLlibz

看来不完全是curl版本问题，MACOSX的确与众不同啊。

还有一个原因也会导致curl返回403错误，如果设置了：

.代码如下:

curl_setopt($ch,CURLOPT_NOBODY,true);

则需要紧跟着设置：

.代码如下:

curl_setopt($ch,CURLOPT_CUSTOMREQUEST,'GET');

不然会因为http服务器不允许HEAD命令而返回403错误。参考：TroublewithacURLrequestinPHP（forums.devshed.com/php-development-5/trouble-with-a-curl-request-in-php-445222.html）。MACOSX上curl之所以特殊，也不排除是这种原因