centos curl(linux curl命令详解)

大家好，关于centos curl很多朋友都还不太明白，不过没关系，因为今天小编就来为大家分享关于linux curl命令详解的知识点，相信应该可以解决大家的一些困惑和问题，如果碰巧可以解决您的问题，还望关注下本站哦，希望对各位有所帮助！

centos 7.2 系统 php7.0.12的 curl 扩展怎么开启

curl是一个广泛使用的用来上传和下载的命令行工具，当然严格来讲，它还可以有别的用途。对于测试来讲，它是Web相关测试非常实用的工具，包括debugging，使用起来非常方便。

下面直接进入主题：

1、直接进入到php源码包中找到原先安装PHP的源码包文件①；

2、直接进入/usr/package/php-7.1.10/ext/curl目录②；

cd/usr/package/php-7.1.10/ext/curl

3、通过phpize工具生成configure文件③；

/usr/local/php/bin/phpize

4、将安装的软件进行配置,检查当前的环境是否满足要安装软件的依赖关系④；

./configure--with-php-config=/usr/local/php/bin/php-config

5、编译程序并安装文件；

make&&make install

6、在php的配置文件php.ini最后一行添加extension=curl.so即可。

相关解释(带圆圈的数字编号)可参考：

Linux中使用curl命令访问https站点4种常见错误和解决方法

每一种客户端在处理https的连接时都会使用不同的证书库。IE浏览器和FireFox浏览器都可以在本浏览器的控制面板中找到证书管理器。在证书管理器中可以自由添加、删除根证书。

而Linux的curl使用的证书库在文件“/etc/pki/tls/certs/ca-bundle.crt”中。（CentOS）

以下是curl在访问https站点时常见的报错信息

1.Peer’s Certificate issuer is not recognized

复制代码代码如下:

[root@ip-172-31-32-208 Nginx]# curl

curl:(60) Peer's Certificate issuer is not recognized.

more details here:

此种情况多发生在自签名的证书，报错含义是签发证书机构未经认证，无法识别。

解决办法是将签发该证书的私有CA公钥cacert.pem文件内容，追加到/etc/pki/tls/certs/ca-bundle.crt。

我们在访问12306.cn订票网站时也报了类似的错误。

复制代码代码如下:

[root@ip-172-31-32-208~]# curl

curl:(60) Peer's certificate issuer has been marked as not trusted by the user.

More details here:

2.SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

复制代码代码如下:

[root@GO-EMAIL-1 aa]# curl

curl:(60) SSL certificate problem, verify that the CA cert is OK. Details:

error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

More details here:

此问题多是由于本地CA证书库过旧，导致新签发证书无法识别。

经排查，github.com证书是由GTE CyberTrust Root签发,现行证书时间是：

1.不早于(1998/8/13 0:29:00 GMT)

2.不晚于(2018/8/13 23:59:00 GMT)

而在我们的Redhat5.3系统中ca-bundle.crt文件发现，GTE CyberTrust Root的时间已经过期。

复制代码代码如下:

Issuer: C=US, O=GTE Corporation, CN=GTE CyberTrust Root

Validity

Not Before: Feb 23 23:01:00 1996 GMT

Not After: Feb 23 23:59:00 2006 GMT

解决办法是更新本地CA证书库。

方法一：

下载替换/etc/pki/tls/certs/ca-bundle.crt

方法二：

使用update-ca-trust更新CA证书库。（CentOS6，属于ca-certificates包）

3.unknown message digest algorithm

复制代码代码如下:

[root@WEB_YF_2.7~]#curl

curl:(35) error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message digest algorithm

此问题多由证书本地openssl不能识别SSL证书签名算法所致。www.alipay.com使用了SHA-256 RSA加密算法。而openssl在OpenSSL 0.9.8o才加入此算法。

解决办法是升级本地openssl。

在我的操作系统RedHat5.3中,yum升级openssl到openssl-0.9.8e-22.el5就可以识别SHA-256算法。原因是Redhat每次都是给0.9.8e打补丁，而不是直接更换版本。在srpm包中我找到了这个补丁。

复制代码代码如下:

Summary: The OpenSSL toolkit

Name: openssl

Version: 0.9.8e

...

Patch89: openssl-fips-0.9.8e-ssl-sha256.patch

4.JAVA和PHP的问题

java和php都可以编程来访问https网站。例如httpclient等。

其调用的CA根证书库并不和操作系统一致。

JAVA的CA根证书库是在 JRE的$JAVA_HOME/jre/lib/security/cacerts，该文件会随着JRE版本的升级而升级。可以使用keytool工具进行管理。

PHP这边我没有进行测试，从php安装curl组件的过程来看，极有可能就是直接采用的操作系统curl一直的数据。

当然PHP也提供了 curl.cainfo参数(php.ini)来指定CA根证书库的位置。

centos7升级curl

Linux系统中，发现Curl及依赖库libcurl存在SOCKS5堆缓冲区溢出漏洞，漏洞标识为：CVE-2023-38545。为确保系统安全，需升级Curl至最新版本。

默认方式通过yum update curl升级至curl 7.55.1，此版本不满足安全需求。

考虑到安全因素，推荐下载Curl8.4.0压缩包，通过编译安装以确保系统安全。

为确认Curl是否成功升级至8.4.0版本，这里演示了系统默认Curl与Anaconda环境下的Curl检查。结果显示，两个Curl版本均为8.4.0，表明升级成功。