SSL_connect 返回=1 errno=0 状态=SSLv3 读取服务器证书 B：证书验证失败

Question

我使用 Authlogic-Connect 进行第三方登录。运行适当的迁移后，Twitter/Google/yahoo 登录似乎工作正常，但 facebook 登录抛出异常：

SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed

开发日志显示

OpenSSL::SSL::SSLError (SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed):
  app/controllers/users_controller.rb:37:in `update'

Please suggest..

Answer 1

One liner 在管理员提示符

choco install wget 中修复了 Windows 的问题（首先参见 chocolatey.org)

wget http://curl.haxx.se/ca/cacert.pem -O C:\cacert.pem && setx /M SSL_CERT_FILE "C:\cacert.pem"

或者只是这样做：

gem sources -r https://rubygems.org/
gem sources -a http://rubygems.org/

Milanio 的方法：

gem sources -r https://rubygems.org
gem sources -a http://rubygems.org 
gem update --system
gem sources -r http://rubygems.org
gem sources -a https://rubygems.org

gem install [NAME_OF_GEM]

Answer 2

嗯，这对我有用

rvm pkg install openssl
rvm reinstall 1.9.2 --with-openssl-dir=$rvm_path/usr

我的 ubuntu 12.04 的 openssl 实现出了问题

Answer 3

虽然知道这是一个相当蹩脚的解决方案，但我仍然分享这个，因为似乎很少有人在这里回答使用 Windows，而且我认为一些 Windows 用户（包括我）会欣赏一个简单直观的解决方案方法。

require 'openssl'
puts OpenSSL::X509::DEFAULT_CERT_FILE

这告诉你 openssl 在哪里寻找证书文件。我的名字不是 Luis，但我的名字是 C:/Users/Luis/Code/luislavena/knap-build/var/knapsack/software/x86-windows/openssl/1.0.0l/ssl/cert.pem.根据各自的环境，路径可能会有所不同（例如openknapsack而不是luislavena）。

即使在通过控制台设置 SSL_CERT_FILE=C:\foo\bar\baz\cert.pem 之后，路径也没有改变，所以...我创建了目录 < code>C:\Users\Luis\Code\luislavena\knap-build\var\knapsack\software\x86-windows\openssl\1.0.0l\ssl 在我的本地磁盘中，并将证书文件放入其中。

尽管很蹩脚，但这肯定会起作用。

Answer 4

我尝试使用 brew 安装 curl-ca-bundle，但该软件包不再可用：

$ brew install curl-ca-bundle
Error: No available formula for curl-ca-bundle 
Searching formulae...
Searching taps...

在 Mac 上对我有用的解决方案是：

 $ cd /usr/local/etc/openssl/certs/
 $ sudo curl -O http://curl.haxx.se/ca/cacert.pem

将此行添加到您的~/.bash_profile （或 zsh 的 ~/.zshrc）：

export SSL_CERT_FILE=/usr/local/etc/openssl/certs/cacert.pem

然后更新您的终端：

$ source ~/.bash_profile

Answer 5

我在处理 Ruby 项目时遇到了同样的问题。我使用的是 Windows 7 64 位。

我通过以下方式解决了这个问题：

1. 从 http://下载 cacert.pem 文件/curl.haxx.se/ca/cacert.pem。
2. 将该文件保存到 C:/RubyCertificates/cacert.pem
3. 然后将我的环境变量“SSL_CERT_FILE”设置为“C:\RubyCertificates\cacert.pem”

源：https://gist.github.com/fnichol/867550

Answer 6

对我有用的最直接的答案是这个

sudo apt-get install openssl ca-certificates

瞧！

Answer 7

带 Homebrew 的 OS X 10.8.x：

brew install curl-ca-bundle
brew list curl-ca-bundle
cp /usr/local/Cellar/curl-ca-bundle/1.87/share/ca-bundle.crt /usr/local/etc/openssl/cert.pem

Answer 8

然后，正如这篇博文所建议的，

“如何解决 Net::HTTP 的有风险的默认 HTTPS 行为”，

您可能需要安装 always_verify_ssl_certificates gem，它允许您为 ca_file 设置默认值。

Answer 9

这对我有用。如果您使用rvm和brew：

rvm remove 1.9.3
brew install openssl
rvm install 1.9.3 --with-openssl-dir=`brew --prefix openssl`

Answer 10

我遇到了这个问题，尽管我是 OSX 上的 RVM 用户，但建议的 rvm osx-ssl-certs update all 修复不起作用。

对我有用的修复是重新安装最新版本的 openssl：

brew update
brew remove openssl
brew install openssl

Answer 11

我通过在终端中运行它解决了这个问题。完整文章可通过此处获取

rvm install 2.2.0 --disable-binary

Answer 12

OSX解决方案：

安装最新的rvm稳定版本

rvm get stable

使用rvm命令自动解决证书

rvm osx-ssl-certs update all

Answer 13

如果您在本地运行 Rails 应用程序，则只需在 application.rb 的底部添加此行即可。

OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE

之后您就可以毫无问题地使用该应用程序。您可以称其为 hack，但不建议这样做。仅当需要本地运行时使用

Answer 14

如果您在 Leopard 上遇到问题，以下是我所做的，对您有帮助。

我的证书很旧，需要更新。我下载了这个：

http://curl.haxx.se/ca/cacert.pem

然后替换我在 Leopard 上找到的证书：

/usr/share/curl/curl-ca-bundle.crt

重新加载正在访问它的任何内容，您应该可以开始了！

Answer 15

只是因为说明对我有用，所以我想添加我的 2 美分：

我在 OS X Lion 上并使用 macports 和 rvm

我安装了curl-ca-bundle：

sudo port install curl-ca-bundle

然后我将omniauth配置调整为这：

Rails.application.config.middleware.use OmniAuth::Builder do
  provider :google_oauth2, APP_CONFIG['CONSUMER_KEY'], APP_CONFIG['CONSUMER_SECRET'],
           :scope => 'https://www.google.com/m8/feeds https://www.googleapis.com/auth/userinfo.profile',
           :ssl => {:ca_path => "/share/curl/curl-ca-bundle.crt"}
end

Answer 16

如果 /usr/local/etc/openssl 中有指向 cert.pem 的符号链接，请尝试执行以下操作：

ruby -ropenssl -e "p OpenSSL::X509::DEFAULT_CERT_FILE" (should be /usr/local/etc/openssl)
cd /usr/local/etc/openssl
wget http://curl.haxx.se/ca/cacert.pem
ln -s cacert.pem 77ee3751.0 (77ee3751.0 is my symbolic link, should depend on the openssl version)

Answer 17

对我有用的是答案的组合，即：

# Reinstall OpenSSL
brew update
brew remove openssl
brew install openssl
# Download CURL CA bundle
cd /usr/local/etc/openssl/certs
wget http://curl.haxx.se/ca/cacert.pem
/usr/local/opt/openssl/bin/c_rehash
# Reinstall Ruby from source
rvm reinstall 2.2.3 --disable-binary

Answer 18

我遇到了好几天的麻烦，一直在到处乱搞。 此链接 事实证明对我非常有帮助。它帮助我在 MAC OS X 9 上成功升级 SSL。

Answer 19

有时并不总是rvm的问题
在MAC OSX中，如果删除.rvm，问题仍然存在（特别是当您从时间机器备份数据时），您可以尝试这种方法。

1.brew update
2.brew install openssl

Answer 20

添加 gem '已认证', '~>; 1.0' 到我的 Gemfile 并运行 bundle 为我解决了这个问题。

Answer 21

当我尝试使用 Rails 3 的 JQuery 生成器时，我遇到了类似的问题，

我这样解决了：

1. 获取 CURL 证书颁发机构 (CA) 捆绑包。您可以使用以下方法执行此操作：

   • sudo port install curl-ca-bundle [如果您使用的是 MacPorts]
   • 或者直接下拉wget http://curl.haxx.se/ca/cacert.pem

2. 执行尝试验证 SSL 证书的 ruby​​ 代码：SSL_CERT_FILE=/ opt/local/etc/certs/cacert.pem Rails 生成 jquery:install。在您的情况下，您想要将其设置为服务器拾取它的环境变量，或者添加类似 ENV['SSL_CERT_FILE'] = /path/to/your/new/cacert.pem在您的environment.rb 文件中。

您也可以将 CA 文件（我没有尝试过）安装到操作系统 - 这里有冗长的说明 ——这应该以类似的方式工作，但我个人还没有尝试过。

基本上，您遇到的问题是某些 Web 服务使用针对 OpenSSL 无法验证的 CA 签名的证书进行响应。

Answer 22

如果您在 OS X 上使用 RVM，则可能需要运行此命令：

rvm osx-ssl-certs update all

更多信息请参见： http://rvm.io/support/fixing-broken-ssl-certificates

这是完整的解释：https://github.com/wayneeseguin/rvm/blob/master/help/osx-ssl-certs.md

---

在 Ruby 2.2 上更新

，您可能需要从源代码重新安装 Ruby 才能解决此问题。操作方法如下（将 2.2.3 替换为您的 Ruby 版本）：

rvm reinstall 2.2.3 --disable-binary

归功于 https://stackoverflow.com/ a/32363597/4353 和 伊恩·康纳。

Answer 23

以下是在 Windows 上修复此问题的方法：https://gist.github.com/867550（由弗莱彻·尼科尔（Fletcher Nichol）

摘录：

手动方式（无聊）

从 http://curl 下载 cacert.pem 文件。 haxx.se/ca/cacert.pem。将此文件保存到C:\RailsInstaller\cacert.pem。

现在，通过设置 SSL_CERT_FILE 让 ruby​​ 识别您的证书颁发机构包。要在当前命令提示符会话中进行设置，请键入：

设置 SSL_CERT_FILE=C:\RailsInstaller\cacert.pem

要使其成为永久设置，请将此添加到您的 控制面板。

Answer 24

Ruby 找不到任何可信任的根证书。

查看此博客文章以获取解决方案：“Ruby 1.9 和 SSL 错误"。

解决方案是安装 curl-ca-bundle 端口，其中包含 Firefox 使用的相同根证书：

sudo port install curl-ca-bundle

并告诉您的 https 对象使用它：

https.ca_file = '/opt/local/share/curl/curl-ca-bundle.crt'

请注意，如果您希望代码在 Ubuntu 上运行，则需要设置 ca_path 属性，并使用默认证书位置 /etc/ssl/certs。

Answer 25

在 OSX 上出现此错误的原因是 rvm 安装的 ruby​​。

如果您在 OSX 上遇到此问题，您可以在此博客文章中找到对此问题的广泛解释：

http://toadle.me/2015/04/16/fixing-failing-ssl-verification-with-rvm.html

简短的版本是，对于某些在 Ruby 版本中，RVM 下载预编译的二进制文件，这些二进制文件会在错误的位置查找证书。通过强制 RVM 下载源代码并在您自己的计算机上进行编译，您可以确保证书位置的配置正确。

执行此操作的命令是：

rvm install 2.2.0 --disable-binary

如果您已经有相关版本，则可以使用以下命令重新安装它：（

rvm reinstall 2.2.0 --disable-binary

显然，根据需要替换您的 ruby​​ 版本）。

Answer 26

问题是 ruby​​ 找不到可信任的根证书。从 1.9 ruby​​ 开始检查这一点。您需要确保您的系统上有 pem 文件形式的curl 证书。您还需要确保证书位于 ruby​​ 期望的位置。您可以在以下位置获取此证书...

http://curl.haxx.se/ca/cacert.pem

如果您是 RVM 和 OSX 用户，那么您的证书文件位置将根据您使用的 ruby​​ 版本而有所不同。使用 :ca_path 显式设置路径是一个坏主意，因为您的代码在投入生产时将不可移植。您想在默认位置为 ruby​​ 提供证书（并假设您的开发人员知道他们在做什么）。您可以使用 dtruss 找出系统在哪里寻找证书文件。

就我而言，系统正在寻找证书文件，

/Users/stewart.matheson/.rvm/usr/ssl/cert.pem

但是 MACOSX 系统需要证书，

/System/Library/OpenSSL/cert.pem

我将下载的证书复制到此路径并且它有效。华泰

Answer 27

新的认证 gem 旨在解决此问题：

https://github.com/stevegraham/certified

Answer 28

只需在您的 gemfile 中添加 gem 'certified' 并运行捆绑安装即可。

1. gem“认证”
2. 捆绑安装

Answer 29

在具有最新 macport 的 Mac OS X Lion 上：

sudo port install curl-ca-bundle  
export SSL_CERT_FILE=/opt/local/share/curl/curl-ca-bundle.crt  

然后，重新运行失败的作业。

请注意，自 Eric G 于 5 月 12 日答复以来，证书文件位置似乎已发生变化。

Answer 30

这是用于调试目的的另一个选项。

请确保永远不要在任何生产环境中使用它，因为它首先会抵消使用 SSL 的好处。仅在本地开发环境中执行此操作才有效。

require 'openssl'
OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE