[Error] curl: (60) SSL certificate problem: unable to get local issuer certificate
0
※ 2020년도 이슈 당시 인증서에 해당되는 글입니다.
Sectigo(Comodo) Root, 중개 인증서 변경 건
https://www.comodossl.co.kr/support/notice/view.aspx?Seq=23&page=
https://www.sslcert.co.kr/guides/kb/55?page=2
Root 중개 인증서가 변경되어 Sectigo 인증서 적용 후 curl 사용 시 에러 발생
| 형식 | 기존 | 변경 |
|---|---|---|
| Chain1 | USERTrust RSA Certification Authority | USERTrust RSA Certification Authority |
| Root | AddTrust External CA Root | AAA Certificate Services |
Error 원문
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.se/docs/sslcerts.html
curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.
[root@localhost Sectigo]# vi /etc/httpd/conf.d/ssl.conf해결방법 Root 인증서 적용
- Root 인증서 파일 다운로드
발급자 : Comodo (2019년 11월15일 이전 발급건)
https://www.comodossl.co.kr/AAA/Comodo.zip
발급자 : Sectigo (2019년 11월15일 이후 발급건) // 본 게시글 서버는 해당 파일로 진행하였음
https://www.comodossl.co.kr/AAA/Sectigo.zip
- 서버에서 압축 해제 후 확인
[root@localhost Sectigo]# ls -al
합계 20
drwxr-xr-x 2 root root 155 11월 20 22:12 .
drwxr-xr-x 5 root root 73 11월 20 16:33 ..
-rw-r--r-- 1 root root 1542 11월 8 2019 AAACertificateServices.crt
-rw-r--r-- 1 root root 1968 3월 13 2019 SectigoRSAAddTrustCA.crt
-rw-r--r-- 1 root root 2167 11월 11 2019 SectigoRSADomainValidationSecureServerCA.crt
-rw-r--r-- 1 root root 4134 5월 20 2020 rsa-dv.chain-bundle.pem- 자신이 사용해야 할 파일 구분
Issuer: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
ValiditySectigo RSA Domain Validation Secure Server CA로 조회되어 SectigoRSADomainValidationSecureServerCA.crt 파일 사용
잘 모르겠으면 아래 사이트에서 도메인 조회 후 CHAIN DETAILS 에서 확인 가능
- 자신의 인증서 경로 확인
# curl -v https://도메인
==
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
* CApath: none
==/etc/pki/tls/certs/ca-bundle.crt 로 확인되었으나 조회 시 링크 파일로 확인됨
# ls -al /etc/pki/tls/certs/ca-bundle.crt
==
lrwxrwxrwx 1 root root 49 11월 20 16:39 /etc/pki/tls/certs/ca-bundle.crt -> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
==- 인증서 백업 후 Root 인증서 추가
# 백업
cp -arp /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem_ori
# 주석으로 기존 내용과 구분
echo "\n### Sectigo_RSA_AddTrust_codesign Add $(date '+%Y%m%d') \n " >> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
# Root 인증서 내역 복사 후 하단에 추가한 주석 밑에 넣고 저장- 사이트 점검
https://www.ssllabs.com/ssltest/
https://www.sslchecker.com/sslchecker
번외) 2020 이슈 이후 인증서 Root1 missing인 경우
발급받은 도메인.ca 파일에 아래 AAA 체인 부분을 추가
-----BEGIN CERTIFICATE-----
MIIEMjCCAxqgAwIBAgIBATANBgkqhkiG9w0BAQUFADB7MQswCQYDVQQGEwJHQjEb
MBkGA1UECAwSR3JlYXRlciBNYW5jaGVzdGVyMRAwDgYDVQQHDAdTYWxmb3JkMRow
GAYDVQQKDBFDb21vZG8gQ0EgTGltaXRlZDEhMB8GA1UEAwwYQUFBIENlcnRpZmlj
YXRlIFNlcnZpY2VzMB4XDTA0MDEwMTAwMDAwMFoXDTI4MTIzMTIzNTk1OVowezEL
MAkGA1UEBhMCR0IxGzAZBgNVBAgMEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4GA1UE
BwwHU2FsZm9yZDEaMBgGA1UECgwRQ29tb2RvIENBIExpbWl0ZWQxITAfBgNVBAMM
GEFBQSBDZXJ0aWZpY2F0ZSBTZXJ2aWNlczCCASIwDQYJKoZIhvcNAQEBBQADggEP
ADCCAQoCggEBAL5AnfRu4ep2hxxNRUSOvkbIgwadwSr+GB+O5AL686tdUIoWMQua
BtDFcCLNSS1UY8y2bmhGC1Pqy0wkwLxyTurxFa70VJoSCsN6sjNg4tqJVfMiWPPe
3M/vg4aijJRPn2jymJBGhCfHdr/jzDUsi14HZGWCwEiwqJH5YZ92IFCokcdmtet4
YgNW8IoaE+oxox6gmf049vYnMlhvB/VruPsUK6+3qszWY19zjNoFmag4qMsXeDZR
rOme9Hg6jc8P2ULimAyrL58OAd7vn5lJ8S3frHRNG5i1R8XlKdH5kBjHYpy+g8cm
ez6KJcfA3Z3mNWgQIJ2P2N7Sw4ScDV7oL8kCAwEAAaOBwDCBvTAdBgNVHQ4EFgQU
oBEKIz6W8Qfs4q8p74Klf9AwpLQwDgYDVR0PAQH/BAQDAgEGMA8GA1UdEwEB/wQF
MAMBAf8wewYDVR0fBHQwcjA4oDagNIYyaHR0cDovL2NybC5jb21vZG9jYS5jb20v
QUFBQ2VydGlmaWNhdGVTZXJ2aWNlcy5jcmwwNqA0oDKGMGh0dHA6Ly9jcmwuY29t
b2RvLm5ldC9BQUFDZXJ0aWZpY2F0ZVNlcnZpY2VzLmNybDANBgkqhkiG9w0BAQUF
AAOCAQEACFb8AvCb6P+k+tZ7xkSAzk/ExfYAWMymtrwUSWgEdujm7l3sAg9g1o1Q
GE8mTgHj5rCl7r+8dFRBv/38ErjHT1r0iWAFf2C3BUrz9vHCv8S5dIa2LX1rzNLz
Rt0vxuBqw8M0Ayx9lt1awg6nCpnBBYurDC/zXDrPbDdVCYfeU0BsWO/8tqtlbgT2
G9w84FoVxp7Z8VlIMCFlA2zs6SFz7JsDoeA3raAVGI/6ugLOpyypEBMs1OUIJqsi
l2D4kF501KKaU73yqWjgom7C12yxow+ev+to51byrvLjKzg6CYG1a4XXvi3tPxq3
smPi9WIsgtRqAEFQ8TmDn5XpNpaYbg==
-----END CERTIFICATE-----복사하시는 것보다는 찾아보시고 올바른 인증서를 받으시는 것을 권유드립니다.
Raiju Hantu Goryo Obake