...
curl 은 기본적으로 https 사이트의 SSL 인증서를 검증한다. 인증 기관의 인증서 목록이 없거나 모르는 기관에서 발급한 인증서일 경우 다음과 같은 인증서 검증 에러를 발생시키고 동작을 중지하게 된다.
Code Block | ||
---|---|---|
| ||
cURL error 60: SSL certificate problem: unable to get local issuer certificate (see http://curl.haxx.se/libcurl/c/libcurl-errors.html) |
해결방법은 2가지가 있다.
1. 인증서 검증 안 함
검증을 하지 않는 옵션인 -k(--insecure) 옵션을 주고 curl 을
...
구동하면 된다.
Code Block | ||
---|---|---|
| ||
curl -k -L google.com |
Code Block | ||
---|---|---|
| ||
curl --insecure -L google.com |
...
인증기관 목록 추가하기
...
2. 인증기관 목록 추가하기
2번째 방법은 curl 의 신뢰하는 인증 기관 목록(CA List; Certificate Authority List)에 접속하려는 사이트의 인증서를 발급한 기관을 추가하는 방법이다.
1. 먼저 curl 을 -v 옵션을 주고 실행해서 CA List 파일이 어디에 있는지 위치를 확인한다.
Note |
---|
RHEL/CentOS 는 아래와 같이 /etc/pki/tls/certs/ca-bundle.crt 에서 CA 목록을 로딩함 |
Code Block | ||
---|---|---|
| ||
lesstif@localhost:~> curl -v https://google.com
* About to connect() to google.com port 443 (#0)
* Trying 74.125.128.139... connected
* Connected to google.com (74.125.128.139) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none |
Info |
---|
Ubuntu 는 /etc/ssl/certs/ca-certificates.crt 또는 /etc/ssl/certs 디렉터리에서 CA 목록 로딩 |
...
* Rebuilt URL to: https://google.com/
* Trying 172.217.25.110...
* Connected to google.com (172.217.25.110) port 443 (#0)
* found 173 certificates in /etc/ssl/certs/ca-certificates.crt
* found 694 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* SSL connection using TLS1.2 / ECDHE_ECDSA_AES_128_GCM_SHA256
* server certificate verification OK
Tip | ||
---|---|---|
Windows 에서 curl.exe 를 사용시 다음 순서대로 ca-bundle.crt 를 찾음
|
2. 서버 인증서 및
...
CA
...
List 를 BASE64 로 저장한 내용을 위에서 확인한 ca-bundle.crt
...
파일에 추가해 준다. 자세한 방법은 https 연결시 서버의 SSL 인증서 추출하기 (curl 또는 web browser 사용) 를
...
참고한다.
3. 런타임에 옵션으로 CA List 파일을 지정하려면 curl 실행시 --cacert
...
옵션으로 CA List를 지정할 수
...
있다.
Code Block | ||
---|---|---|
| ||
curl -v --cacert myca-bundle.crt https://google.com |
CA 인증서 파일 갱신
curl 홈페이지에서 최신 새로운 인증 기관이 생겼는데 OS 에 포함된 curl 에는 반영이 안 되서 발생할 수 있다. curl 홈페이지에서는 주기적으로 최신 인증 기관 목록을 갱신햇 배포하므로 CA 인증서 목록을 다운받아서 기존 파일에 덮어써도 된다.
1. wget 또는 curl 명령을 사용해서 https://curl.haxx.se/ca/cacert.pem
...
에서 인증서를 다운받는다.
Code Block | ||||
---|---|---|---|---|
| ||||
wget --no-check-certificate https://curl.haxx.se/ca/cacert.pem |
Code Block | ||
---|---|---|
| ||
curl -k -O https://curl.haxx.se/ca/cacert.pem |
2. curl -v 옵션으로 CA 인증서 목록 파일의 위치를 확인한 후에 예전 파일은 백업하고 다운받은 인증서 파일을 덮어쓴다.
Code Block | ||
---|---|---|
| ||
sudo cp cacert.pem /etc/ssl/certs/ca-certificates.crt |
PHP 에서 curl 사용시
php 에 내장된 curl 사용시 "cURL error 60: SSL certificate problem: unable to get local issuer certificate" 에러가 발생한다면
...