IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> MacOS 10.14 (Mojave) SSL certificate problem: certificate has expired -> 正文阅读

[网络协议]MacOS 10.14 (Mojave) SSL certificate problem: certificate has expired

0. 背景

  1. 系统版本:MacOS 10.14.6
  2. openssl版本:LibreSSL 2.6.5
  3. 网站证书:Let’s Encrypt

1. 现象

自己的gitlab使用Let’s Encrypt生成的证书,在电脑上clone项目时提示:
SSL certificate problem: certificate has expired

2. 排查

  1. 在safari和chrome中打开gitlab,查看到证书没有过期,并且根证书是“ISRG Root X1”签发的。
  2. 在终端中使用openssl进行测试
OpenSSL> s_client -connect {domain}:{port}	
depth=1 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:0
depth=1 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:0
depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:0
---
Certificate chain
 0 s:/CN={domain}
   i:/C=US/O=Let's Encrypt/CN=R3
 1 s:/C=US/O=Let's Encrypt/CN=R3
   i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
 2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3

提示DST Root CA X3的根证书过期了

3. 尝试解决

  1. 先尝试在钥匙串中搜索这个证书,结果没有搜到。后来才发现,钥匙串默认隐藏了过期的证书,需手动显示他们(显示=>显示已过期的证书)
  2. 尝试不信任这个证书,结果发现也不起作用
  3. 用这三个关键词进行搜索:“10.14”、“git”、“dst root ca”
    搜索到了这个issue[链接]1

macOS 10.14 (Mojave) homebrew 更新失败(curl, git 链接的 LibreSSL 版本问题。需要在 /etc/ssl/cert.pem 中手动删除 DST 根证书)

  1. 看到这个解答后先尝试安装了最新的openssl进行测试,结果发现最新的openssl是没问题的
brew install openssl@1.1
/usr/local/opt/openssl@1.1/bin/openssl s_client -connect {domain}:{port}	
  1. 确认和openssl版本相关后,又发现好像MacOS上更新openssl不太方便,就采取了3中,删除/etc/ssl/cert.pem DST根证书的方法
删除了以下内容
### Digital Signature Trust Co.

=== /O=Digital Signature Trust Co./CN=DST Root CA X3
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            44:af:b0:80:d6:a3:27:ba:89:30:39:86:2e:f8:40:6b
    Signature Algorithm: sha1WithRSAEncryption
        Validity
            Not Before: Sep 30 21:12:19 2000 GMT
            Not After : Sep 30 14:01:15 2021 GMT
        Subject: O=Digital Signature Trust Co., CN=DST Root CA X3
.................
Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ
-----END CERTIFICATE-----

### Entrust, Inc.

4. 为什么safari中显示的根证书和openssl中显示的不一样?

想起去年收到Let’s Encrypt发的邮件,说他们的某一个根证书要到期了[链接在这里]2,当时看说“对于大多数人来说,什么都不用做”,就没往心里去。
再看了一遍,又学习到了新姿势:
一个证书可被多个根证书信任,这种操作叫“交叉签名”。
低版本的openssl可能优先使用DST的证书,不去看ISRG。


  1. https://github.com/ustclug/discussions/issues/372 ??

  2. https://letsencrypt.org/zh-cn/docs/dst-root-ca-x3-expiration-september-2021/ ??

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-01-04 13:46:39  更:2022-01-04 13:47:24 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年10日历 -2024/10/5 9:28:07-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码