curl 校验服务器证书

在网络通信中，服务器证书的校验是确保数据传输安全和可信的重要环节。curl 作为一款强大的命令行工具，提供了多种方式来校验服务器证书。

一、使用--cacert 选项指定 CA 证书

1、获取 CA 证书：从证书颁发机构（CA）或其他可信任的来源获取 CA 证书文件，通常以.pem 或.crt 为扩展名。

2、设置 CA 证书并发起请求：使用--cacert 参数指定 CA 证书的路径，然后向目标服务器发起请求。

 curl --cacert /path/to/ca-bundle.crt https://example.com

这条命令会告诉curl 使用指定路径的 CA 证书来验证https://example.com 的服务器证书，如果服务器证书是由该 CA 证书颁发机构签发的，并且证书链完整且有效，请求将会成功；否则，curl 会提示证书验证错误。

3、处理需要密码的 CA 证书：CA 证书需要密码进行解密，可以使用以下命令设置密码：

 curl --cacert /path/to/ca-bundle.crt --pass "password" https://example.com

将"password" 替换为实际的证书密码。

4、忽略证书验证（不推荐）：在某些情况下，如果确定目标服务器是可信的，但证书存在问题（如自签名证书），可以使用--insecure 参数忽略证书验证，但这会带来安全风险，需谨慎使用。

 curl --cacert /path/to/ca-bundle.crt --insecure https://example.com

二、使用系统默认的 CA 证书存储

在大多数操作系统中，curl 会自动使用系统默认的 CA 证书存储来进行服务器证书的校验，这些默认的 CA 证书通常存储在特定的系统目录下，例如在 Linux 系统中，可能位于/etc/ssl/certs/ 目录。

1、更新系统 CA 证书存储：如果系统的 CA 证书存储已更新，或者安装了新的根证书，curl 会在下次请求时自动使用更新后的证书存储进行验证，可以通过系统包管理器安装或更新 CA 证书包，如在 Debian 或 Ubuntu 系统中使用以下命令：

 sudo apt-get update
   sudo apt-get install --reinstall ca-certificates

2、指定系统 CA 证书存储路径：如果需要明确指定系统 CA 证书存储的路径，可以使用--capath 参数。

 curl --capath /etc/ssl/certs https://example.com

不过，在大多数情况下，无需手动指定该参数，因为curl 会自动查找系统的默认证书存储路径。

三、使用环境变量设置 CA 证书

1、设置环境变量：可以通过设置环境变量SSL_CERT_FILE 来指定 CA 证书的路径，该环境变量只在当前终端会话中生效。

 export SSL_CERT_FILE=/path/to/ca-bundle.crt

然后在当前终端会话中运行curl 命令时，curl 会使用该环境变量指定的 CA 证书进行服务器证书校验。

2、结合其他命令使用：这种方式可以与其他curl 命令选项一起使用，

 export SSL_CERT_FILE=/path/to/ca-bundle.crt && curl https://example.com

四、在代码中使用curl 库进行证书校验

如果是在编程环境中使用curl 库，也可以通过相应的函数和选项来设置服务器证书的校验，以下是一个简单的示例，使用 C 语言中的libcurl 库：

1、 ：创建一个CURL 类型的指针，并使用curl_easy_init() 函数进行初始化。

2、设置 URL：使用curl_easy_setopt(CURL *curl, CURLOPT_URL, const char *url) 函数设置要请求的 URL。

3、设置 CA 证书：使用curl_easy_setopt(CURL *curl, CURLOPT_CAINFO, const char *cacert) 函数指定 CA 证书的路径，CA 证书需要密码，还需要使用curl_easy_setopt(CURL *curl, CURLOPT_SSLKEYPASSWD, const char *keypasswd) 函数设置密码。

4、执行请求并获取结果：使用curl_easy_perform(CURL *curl) 函数执行请求，并通过curl_easy_getinfo(CURL *curl, CURLINFO_RESPONSE_CODE, long *res) 等函数获取请求的结果和响应码等信息。

5、清理资源：在请求完成后，使用curl_easy_cleanup(CURL *curl) 函数释放curl 对象的资源。

五、常见问题及解决方法

1、问题：如果遇到 “SSL certificate problem: self signed certificate in certificate chain” 错误，该如何解决？

解答：这通常是因为服务器使用了自签名证书，而客户端没有信任该证书，可以尝试使用--insecure 参数忽略证书验证，但这样做会有安全风险，更好的方法是将自签名证书添加到客户端的信任存储中，具体方法可以参考上述提到的安装证书的方法。

2、问题：如何在curl 命令中同时指定多个 CA 证书？

解答：可以将多个 CA 证书合并到一个文件中，然后使用--cacert 参数指定该合并后的文件路径，或者，也可以多次使用--cacert 参数分别指定每个 CA 证书的路径，但这种方式在某些版本的curl 中可能不被支持，建议使用合并证书的方式更为方便和可靠。