我在用于显示数字标牌的领域中有多个英特尔 NUC。在我在该领域的数千人中,有一对夫妇抱怨这个错误:
SSL 证书问题:证书链中的自签名证书。更多细节在这里:http ://curl.haxx.se/docs/sslcerts.html,curl默认执行 SSL 证书验证,使用证书颁发机构 (CA) 公钥(CA 证书)的“捆绑”。如果默认捆绑文件不够用,您可以使用 --cacert 选项指定备用文件。如果此 HTTPS 服务器使用捆绑包中表示的 CA 签名的证书,则证书验证可能由于证书问题而失败(证书可能已过期,或者名称可能与 URL 中的域名不匹配)。如果您想关闭 curl 对证书的验证,请使用 -k(或 --insecure)选项。
我已经确认证书没有过期,并且域名匹配
这些单元在 Debian 7 上运行
他们所在的网络是否会通过某种防火墙设置导致此问题?
当您访问该网站时,Web 浏览器中会显示什么证书?在您的 curl 捆绑包中,是应该用于 SSL 加密的相同证书吗?我猜没有。CA 将签署您的 cert.pem,以便网络浏览器显示您的绿色锁,从而验证您的网站。您的 curl 捆绑包的配置很可能在后端遇到问题。您需要确保您的服务器使用的是 CA 证书,而不是自签名证书,例如 ssl-cert-snakeoil.pem。
本质上,您的网站应该使用静态 IPv4 地址。至于网络防火墙阻止可能发生的 SSL 握手,我已经看到它发生在特定端口上,例如用于 ssh 连接的端口 22 可能在网络网关处被阻止,以便尝试连接的客户端计算机上的入站流量到服务器。在这种类型的网络防火墙情况下,SYN/ACK https://tools.ietf.org/rfc/rfc793.txt TCP 握手可能会超时。但是,由于您从服务器获得关于自签名证书的明确响应,因此防火墙问题似乎不是问题。