Openssl：错误“证书链中的自签名证书”

Question

当我使用 openssl API 验证服务器证书（自签名）时，出现以下错误：

1 深度查找时出现错误 19：证书中的自签名证书 链

根据openssl documentation，这个错误（19）是

"X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN：自签名证书在 证书链 - 证书链可以使用 不受信任的证书，但在本地找不到根。”

为什么会出现这个错误？我的服务器证书有问题吗？

Answer 1

您有一个自签名的证书，因此默认情况下它是不受信任的，这就是 OpenSSL 抱怨的原因。这个警告实际上是一件好事，因为这种情况也可能由于man-in-the-middle attack 而上升。

要解决此问题，您需要将其安装为受信任的服务器。如果它是由不受信任的 CA 签名的，您还必须安装该 CA 的证书。

看看this link关于安装自签名证书。

Answer 2

这里是验证要由特定 CA 签署的证书的单行代码：

openssl verify -verbose -x509_strict -CAfile ca.pem certificate.pem

这不需要在任何地方安装 CA。

有关详细信息和正确的证书链处理，请参阅How does an SSL certificate chain bundle work?。

Answer 3

错误的解决方法是在代码的最前面添加这一行：

process.env.NODE_TLS_REJECT_UNAUTHORIZED = "0";

Answer 4

如果您正在运行 Charles 并尝试构建 docker 容器，那么您很可能会收到此错误。

确保在 proxy -> macOS proxy 下禁用 Charles (macos) 代理

查尔斯是一个

HTTP 代理/HTTP 监控器/反向代理，使开发人员能够查看其计算机和 Internet 之间的所有 HTTP 和 SSL/HTTPS 流量。

所以任何类似的事情都可能导致同样的问题。