修复SSL证书链不完整问题certificate verify failed unable to get local issuer certificate

Lorin 洛林2025-04-08 8:10

文章目录

前言

  • 最近,我在服务器上更新了 SSL 证书后,虽然网站可以正常访问,浏览器显示证书有效,但在部分文章平台引用服务器上的图片时,图片无法被转存。
  • 排查过程中使用 Python 代码尝试下载图片时,报错如下,怀疑是 SSL 证书链不完整:
Python 复制代码 
SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate')
  • 进一步使用 SSL Labs Server Test 进行验证,发现服务器的证书链确实不完整,导致部分客户端无法正确验证 SSL 证书。最终通过调整 Nginx 的 SSL 配置 解决了这个问题。本文将详细介绍 如何排查和解决 SSL 证书更新后图片无法转存的问题。

排查过程

怀疑文章平台图片转存问题

  • 在部分文章发布平台上,我们尝试将服务器上的图片转存到平台的存储系统,但始终失败。
  • 为了排除文章发布平台的潜在问题,我测试了 非本服务器的其他图片地址,发现这些图片可以成功转存。这表明 问题出在本服务器,而不是文章平台的转存机制。

尝试使用 Python 代码下载图片

  • 怀疑是 Nginx 服务器 SSL 证书配置问题,为了进一步验证猜想使用 Python 代码直接下载服务器上的图片,代码如下:
Python 复制代码 
import requests

url = "https://xxxx/temp-photos/U0AUapam9u.png"
response = requests.get(url)

if response.status_code == 200:
    with open("image.png", "wb") as f:
        f.write(response.content)
    print("图片转存成功")
else:
    print("图片转存失败")
    
# 出现如下报错:
SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate')
  • 错误表明 Python 无法验证服务器的 SSL 证书,通常是因为 服务器的证书链不完整,导致某些客户端无法正确验证证书。

使用 SSL Labs Server Test 验证猜想

  • 为了进一步验证猜想,我使用 SSL Labs Server Test 对服务器的 SSL 证书进行检测,结果显示:
txt 复制代码 
This server's certificate chain is incomplete. Grade capped to B.
  • 错误表明服务器 没有提供完整的证书链,导致某些客户端(如 Python requests、文章平台的图片转存服务)无法正确验证 SSL 证书。
  • 当然我们可以使用 verify=False 忽略证书校验下载,但是当前场景我们无法使用该方案,也是一个治标不治本的方案。

回顾 SSL 安装命令

  • 安装的证书仅包含本域名,没有使用完整的证书链。
txt 复制代码 
acme.sh --install-cert -d xxxx \
  --key-file /root/nginx/conf/conf.d/xxxx.key \
  --cert-file /root/nginx/conf/conf.d/xxxx.cer \
  --reloadcmd "docker container restart nginx"
  • 修复后命令,使用完整证书链 --fullchain-file
txt 复制代码 
acme.sh --install-cert -d xxxx \
  --key-file /root/nginx/conf/conf.d/xxxx.key \
  --fullchain-file /root/nginx/conf/conf.d/xxxx.cer \
  --reloadcmd "docker container restart nginx"

ACME 生成的证书

验证

使用 SSL Labs Server Test 验证

  • 检测结果正常

文章发布平台转存验证

  • 正常转存

个人简介

👋 你好,我是 Lorin 洛林,一位 Java 后端技术开发者!座右铭:Technology has the power to make the world a better place.

🚀 我对技术的热情是我不断学习和分享的动力。我的博客是一个关于Java生态系统、后端开发和最新技术趋势的地方。

🧠 作为一个 Java 后端技术爱好者,我不仅热衷于探索语言的新特性和技术的深度,还热衷于分享我的见解和最佳实践。我相信知识的分享和社区合作可以帮助我们共同成长。

💡 在我的博客上,你将找到关于Java核心概念、JVM 底层技术、常用框架如Spring和Mybatis 、MySQL等数据库管理、RabbitMQ、Rocketmq等消息中间件、性能优化等内容的深入文章。我也将分享一些编程技巧和解决问题的方法,以帮助你更好地掌握Java编程。

🌐 我鼓励互动和建立社区,因此请留下你的问题、建议或主题请求,让我知道你感兴趣的内容。此外,我将分享最新的互联网和技术资讯,以确保你与技术世界的最新发展保持联系。我期待与你一起在技术之路上前进,一起探讨技术世界的无限可能性。

相关推荐
剑神一笑14 分钟前
Linux ls 命令深度解析:从目录遍历到颜色输出的实现原理
linux·服务器·数据库
Maynor99623 分钟前
Codex API 网关迁移与流量优化实战
数据库·oracle
WyCAGy8ij1 小时前
Redis 分布式锁进阶第二篇讲解
数据库·redis·分布式
南极企鹅1 小时前
MySQL的两大支柱:undo Log&redo log
数据库·mysql·oracle
智航GIS1 小时前
ArcGIS大师之路500技---078文件数据库的加密与解密
数据库·arcgis
8125035331 小时前
第13篇:TCP vs UDP——可靠与速度的博弈
网络协议·tcp/ip·udp
音乐宝贝家1 小时前
吉他面板材质怎么选?云杉单板面单吉他配置深度解析
数据库·新媒体运营·产品运营·媒体·材质·内容运营
2401_873479402 小时前
企业安全运营中,如何用IP离线库提前发现失陷主机?三步实现风险画像
网络·数据库·python·tcp/ip·ip
周末也要写八哥3 小时前
数据库安装 | SQL Server2022安装教程及网盘下载地址
数据库
李燚3 小时前
erlang_migrate 架构拆解:behaviour 驱动的多数据库迁移引擎
数据库·postgresql·架构·erlang·migrate·behaviour·erlang_migrate
热门推荐
01GitHub 镜像站点02【AI】2026 年具身智能模型和世界模型总结032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04Codex 下载安装指南:Windows 和 macOS 官方版下载05CC-Switch & Claude 基于 Linux 服务器安装使用指南06【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法07Codex 桌面端更新后 Chrome 插件和 Computer Use 不可用,怎么排查和修复08CC-Switch 下载、安装与使用配置指南【2026.5.29】09Agnes AI 全模态 API 免费实测报告:文生图 + 文生视频完整测试102026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?