[Error] curl: (60) SSL certificate problem: unable to get local issuer certificate

mimic1995·2023년 11월 20일
0
post-thumbnail
post-custom-banner

※ 2020년도 이슈 당시 인증서에 해당되는 글입니다.

Sectigo(Comodo) Root, 중개 인증서 변경 건

https://www.comodossl.co.kr/support/notice/view.aspx?Seq=23&page=
https://www.sslcert.co.kr/guides/kb/55?page=2

Root 중개 인증서가 변경되어 Sectigo 인증서 적용 후 curl 사용 시 에러 발생

형식기존변경
Chain1USERTrust RSA Certification AuthorityUSERTrust RSA Certification Authority
RootAddTrust External CA RootAAA Certificate Services

Error 원문

curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.
[root@localhost Sectigo]# vi /etc/httpd/conf.d/ssl.conf

해결방법 Root 인증서 적용

- Root 인증서 파일 다운로드

발급자 : Comodo (2019년 11월15일 이전 발급건)
https://www.comodossl.co.kr/AAA/Comodo.zip

발급자 : Sectigo (2019년 11월15일 이후 발급건) // 본 게시글 서버는 해당 파일로 진행하였음
https://www.comodossl.co.kr/AAA/Sectigo.zip

https://www.sslcert.co.kr/guides/kb/55?page=2

- 서버에서 압축 해제 후 확인

[root@localhost Sectigo]# ls -al 
합계 20
drwxr-xr-x 2 root root  155 1120 22:12 .
drwxr-xr-x 5 root root   73 1120 16:33 ..
-rw-r--r-- 1 root root 1542 118  2019 AAACertificateServices.crt
-rw-r--r-- 1 root root 1968  313  2019 SectigoRSAAddTrustCA.crt
-rw-r--r-- 1 root root 2167 1111  2019 SectigoRSADomainValidationSecureServerCA.crt
-rw-r--r-- 1 root root 4134  520  2020 rsa-dv.chain-bundle.pem

- 자신이 사용해야 할 파일 구분

        Issuer: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
        Validity

Sectigo RSA Domain Validation Secure Server CA로 조회되어 SectigoRSADomainValidationSecureServerCA.crt 파일 사용

잘 모르겠으면 아래 사이트에서 도메인 조회 후 CHAIN DETAILS 에서 확인 가능

https://www.sslchecker.com/sslchecker

- 자신의 인증서 경로 확인

# curl -v https://도메인
==
*  CAfile: /etc/pki/tls/certs/ca-bundle.crt
*  CApath: none
==

/etc/pki/tls/certs/ca-bundle.crt 로 확인되었으나 조회 시 링크 파일로 확인됨

# ls -al /etc/pki/tls/certs/ca-bundle.crt
==
lrwxrwxrwx 1 root root 49 1120 16:39 /etc/pki/tls/certs/ca-bundle.crt -> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
==

- 인증서 백업 후 Root 인증서 추가

# 백업
cp -arp /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem_ori

# 주석으로 기존 내용과 구분
echo "\n### Sectigo_RSA_AddTrust_codesign Add $(date '+%Y%m%d') \n " >> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem

# Root 인증서 내역 복사 후 하단에 추가한 주석 밑에 넣고 저장

- 사이트 점검

https://www.ssllabs.com/ssltest/
https://www.sslchecker.com/sslchecker

번외) 2020 이슈 이후 인증서 Root1 missing인 경우

발급받은 도메인.ca 파일에 아래 AAA 체인 부분을 추가

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

복사하시는 것보다는 찾아보시고 올바른 인증서를 받으시는 것을 권유드립니다.

profile
Raiju Hantu Goryo Obake
post-custom-banner

0개의 댓글