每一種客戶端在處理https的連接時都會使用不同的證書庫。IE瀏覽器和FireFox瀏覽器都可以在本瀏覽器的控制面板中找到證書管理器。在證書管理器中可以自由添加、刪除根證書。

而Linux的curl使用的證書庫在文件“/etc/pki/tls/certs/ca-bundle.crt”中。（CentOS）

以下是curl在訪問https站點時常見的報錯信息

1.Peer’s Certificate issuer is not recognized

此種情況多發生在自簽名的證書，報錯含義是簽發證書機構未經認證，無法識別。

解決辦法是將簽發該證書的私有CA公鑰cacert.pem文件內容，追加到/etc/pki/tls/certs/ca-bundle.crt。

我們在訪問12306.cn訂票網站時也報了類似的錯誤。

2.SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

經排查，github.com證書是由GTE CyberTrust Root簽發,現行證書時間是：

1.不早于(1998/8/13 0:29:00 GMT)
2.不晚于(2018/8/13 23:59:00 GMT)

而在我們的Redhat5.3系統中ca-bundle.crt文件發現，GTE CyberTrust Root的時間已經過期。

方法一：

下載http://curl.haxx.se/ca/cacert.pem 替換/etc/pki/tls/certs/ca-bundle.crt

方法二：

使用update-ca-trust 更新CA證書庫。（CentOS6，屬于ca-certificates包）

3.unknown message digest algorithm

解決辦法是升級本地openssl。

在我的操作系統RedHat5.3中,yum 升級openssl到openssl-0.9.8e-22.el5 就可以識別SHA-256算法。原因是Redhat每次都是給0.9.8e打補丁，而不是直接更換版本。在srpm包中我找到了這個補丁。

4.JAVA和PHP的問題

java和php都可以編程來訪問https網站。例如httpclient等。

其調用的CA根證書庫并不和操作系統一致。

JAVA的CA根證書庫是在 JRE的$JAVA_HOME/jre/lib/security/cacerts，該文件會隨著JRE版本的升級而升級。可以使用keytool工具進行管理。

PHP這邊我沒有進行測試，從php安裝curl組件的過程來看，極有可能就是直接采用的操作系統curl一直的數據。

當然PHP也提供了 curl.cainfo 參數(php.ini)來指定CA根證書庫的位置。