curl 加载ca 证书

一、在 Linux 和 macOS 上加载 CA 证书

1、手动指定 CA 证书文件：可以使用-CAfile 或--cacert 选项来指定 CA 证书文件的路径，如果 CA 证书文件位于/path/to/ca.pem，可使用以下命令访问 HTTPS 站点：

   curl -CAfile /path/to/ca.pem https://example.com

或者

   curl --cacert /path/to/ca.pem https://example.com

2、更新系统默认的 CA 证书库：在某些情况下，可能需要更新系统默认的 CA 证书库以包括最新的受信任证书，不同的 Linux 发行版有不同的包管理工具，以下是一些常见的命令：

Debian/Ubuntu 系统：

     sudo apt-get update
     sudo apt-get install ca-certificates

CentOS/RHEL 系统：

     sudo yum update
     sudo yum install ca-certificates

3、处理自签名证书：如果访问的是使用自签名证书的服务器，需要先获取自签名证书，然后使用curl 指定该证书进行访问，获取自签名证书的方法有多种，以下是使用openssl 命令获取并保存为server.crt 的例子：

   openssl s_client -connect example.com:443 </dev/null 2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > server.crt

然后使用curl 访问时指定该证书：

   curl --cacert server.crt https://example.com

二、在 Windows 上加载 CA 证书

1、添加根证书：将需要的 CA 证书文件（如.cer 格式）复制到%ProgramData%gnutlscertificates 目录下（如果该路径不存在，需要创建），然后打开命令提示符（PowerShell 或 CMD），运行以下命令使新证书生效：

   set SSL_CERT_FILE=C:pathtoyour-ca-file.crt

其中C:pathtoyour-ca-file.crt 替换为实际的证书文件路径。

2、配置环境变量：也可以通过设置环境变量来指定 CA 证书文件，打开命令提示符，运行以下命令：

   set SSL_CERT_FILE=C:pathtoyour-ca-file.crt

然后再执行curl 命令进行访问。

三、常见问题及解答

1、问题：如果不确定系统的 CA 证书存储位置，如何查看？

解答：在 Linux 和 macOS 上，可以使用curl -v 命令查看当前使用的 CA 证书位置。

     curl -v https://example.com 2>&1 | grep "CAfile"

如果输出显示了某个文件路径，则说明curl 正在使用该路径下的 CA 证书库。

2、问题：如何处理多个 CA 证书？

解答：可以将多个 CA 证书合并到一个文件中，然后使用curl 指定该合并后的证书文件，也可以分别指定多个-CAfile 或--cacert 选项来加载多个证书文件，但这种方式不太常见。

3、问题：为什么即使指定了正确的 CA 证书，curl 仍然提示证书验证失败？

解答：可能有以下几种原因：

证书已过期。

证书的颁发机构不受信任。

主机名不匹配。

证书链不完整，缺少中间证书。

系统中存在多个 CA 证书库，curl 可能使用了错误的证书库，需要检查系统的 CA 证书配置，确保curl 使用的是包含正确 CA 证书的库。