我在用于显示数字标牌的字段中有多个Intel NUC。在该字段中,有成千上万的我抱怨此错误:
SSL证书问题:证书链中的自签名证书。这里的更多详细信息:http://curl.haxx.se/docs/sslcerts.html,curl默认情况下使用证书颁发机构(CA)公钥(CA证书)的“捆绑包”执行SSL证书验证。如果默认的捆绑包文件不足,则可以使用--cacert选项指定备用文件。如果此HTTPS服务器使用由捆绑软件中表示的CA签名的证书,则证书验证可能由于证书问题而失败(证书可能已过期,或者名称可能与URL中的域名不匹配)。如果要关闭curl对证书的验证,请使用-k(或--insecure)选项。
我已经确认证书没有过期,并且域名匹配
这些单元在Debian 7上运行
它们所在的网络是否可能通过某种防火墙设置导致此问题?
答案 0 :(得分:-1)
当您访问网站时,Web浏览器中显示什么证书?在您的curl捆绑包中,是否应该使用用于SSL加密的同一证书?我猜不会。 CA将对您的cert.pem签名,以便Web浏览器将显示您的绿色锁,从而对您的网站进行身份验证。卷发束的配置很可能在后端出现问题。您需要确保服务器使用的是CA证书,而不是诸如ssl-cert-snakeoil.pem之类的自签名证书。
基本上,您的网站应使用静态IPv4地址。至于可能阻止SSL握手发生的网络防火墙,我已经看到它发生在特定端口上,例如ssh连接的端口22可能在网络网关处被阻塞,以阻止客户端计算机上尝试进行连接的入站流量到服务器。在这种类型的网络防火墙情况下,SYN / ACK https://tools.ietf.org/rfc/rfc793.txt TCP握手可能会超时。但是,由于您从服务器收到有关自签名证书的明确响应,因此防火墙问题似乎不是问题。