在 Cygwin 中对 HTTPS URL 运行 wget 时如何修复证书错误？

Question

Closed. This question is not about programming or software development. It is not currently accepting answers.

---

这个问题似乎不是关于特定的编程问题、软件算法或主要由程序员使用的软件工具。如果您认为该问题与另一个 Stack Exchange 站点上的主题相关，您可以发表评论来解释该问题可能在哪里得到答复。

10 个月前已关闭。

社区在 10 个月前审查了是否重新开放此问题，并将其关闭：

原始关闭原因未解决

Answer 1

只要做

apt-get install ca-certificate

Answer 2

如果您不关心检查证书的有效性，只需在 wget 命令行上添加 --no-check-certificate 选项即可。这对我来说效果很好。

注意：这会让您面临中间人 (MitM) 攻击，并且不建议您在关心安全的情况下使用。

Answer 3

看看这里当前的 hacky 解决方案，我觉得我毕竟必须描述一个正确的解决方案。

首先，您需要通过 Cygwin 的 setup.exe 安装 cygwin 软件包 ca-certificates 来获取证书。

不要使用curl或类似的黑客来下载证书（作为相邻答案的建议），因为这从根本上来说是不安全的，并且可能会损害系统。

其次，您需要告诉wget您的证书在哪里证书是，因为它在 Cygwin 环境中默认不获取它们。如果您可以使用命令行参数 --ca-directory=/usr/ssl/certs （最适合 shell 脚本）或添加 ca_directory = /usr/ssl/ certs 到 ~/.wgetrc 文件。

您还可以通过运行 ln -sT /usr/ssl /etc/ssl 来解决此问题，如另一个答案中指出的那样，但这仅在您对系统具有管理访问权限时才有效。< /strong> 我描述的其他解决方案不需要这样做。

Answer 4

如果问题是缺少已知的根 CA，并且当您使用 ubuntu 或 debian 时，则可以使用这一行解决问题：

sudo apt-get install ca-certificates

Answer 5

也许这会有所帮助：

wget --no-check-certificate https://blah-blah.tld/path/filename

Answer 6

首先，需要安装 SSL 证书。说明（基于https://stackoverflow.com/a/4454754/278488）：

pushd /usr/ssl/certs
curl http://curl.haxx.se/ca/cacert.pem | awk 'split_after==1{n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1} {print > "cert" n ".pem"}'
c_rehash

以上内容足以修复< code>curl，但 wget 需要额外的符号链接：

ln -sT /usr/ssl /etc/ssl

Answer 7

我有类似的问题并通过暂时禁用我的防病毒软件（卡巴斯基免费版 18.0.0.405）来修复它。该反病毒软件具有 HTTPS 拦截模块，可自动对其在 HTTPS 响应中找到的所有证书进行自签名。

Cygwin 的 Wget 对 AV 根证书一无所知，因此当它发现网站的证书是用不信任证书签名时，它会打印该错误。

要在不禁用 AV 的情况下永久修复此问题，您应该将 AV 根证书作为 .pem 文件（base64 编码）从 Windows 证书存储复制到 /etc/pki/ca-trust/source/anchors 并运行 更新-ca-trust

Answer 8

apt-get install ca-certificates 

s 有所不同；）

Answer 9

就我而言，在树莓派 3B 上，时间是在未来（2025 年），我需要使用 ntpdate 将时间传递到过去来更新到当前本地时间，它解决了问题。

 $ sudo date +%Y%m%d -s "20210101"
 $ sudo ntpdate times1.mike.fi

Answer 10

感谢丹尼斯·巴哈列夫（Denis Bakharev），我解决了这个案子。

如果有人因为“证书不受信任”而导致 Cygwin wget 无法工作，并且安装了 ca 证书，并且防病毒软件会自动对它在 HTTPS 响应中找到的所有证书进行自签名，那么您需要：

1. 从您的 AV 获取根证书（我通过浏览器获取了我的根证书） ：打开任意https网站，检查其证书，进入证书路径选项卡，点击根证书，然后点击查看证书按钮，进入。 详细信息 选项卡并单击复制到文件... 按钮。默认设置适合将证书保存在 *.cer 文件中。
2. 将 *.cer 转换为 *.crt。您可以通过以下命令使用 Cygwin 的 OpenSSL：

openssl x509 -inform DER -in <您的 *.cer 证书文件> -out.crt

3. 将新的 *.crt 文件移动到 ca 目录（在我的例子中是 /etc/pki/tls/certs/）。

这足以让我让 wget 工作了。

Answer 11

在安装新的 SSL 证书后，我也遇到了类似的问题，wget 到我自己的实时网站返回错误。我已经检查了几个浏览器，它们没有报告任何错误：

wget --no-cache -O - "https://example.com/..." 错误：'example.com 的证书' 不被信任。错误：“example.com”的证书没有已知的颁发者。

问题是我从颁发者那里安装了错误的证书颁发机构 .pem/.crt 文件。通常他们将 SSL 证书和 CA 文件捆绑为 zip 文件，但 DigiCert 通过电子邮件将证书发送给您，您必须自行找出匹配的 CA。 https://www.digicert.com/help/ 有一个 SSL 证书检查器，其中列出了 SSL权威机构和希望匹配的 CA 具有漂亮的蓝色链接图形（如果他们同意）：

`SSL 证书：颁发者 GeoTrust TLS DV RSA 混合 SHA256 2020 CA-1

CA：主题 GeoTrust TLS DV RSA 混合SHA256 2020 CA-1
有效期为2020年7月16日至2023年5月31日
发行人 DigiCert 全局根 CA`

Answer 12

上周，当我们安装新创建的证书时，我们刚刚遇到了同样的问题。我也看过两次……但我学得很慢。在所有 3 种情况下，我都必须获得“中间证书”并安装它们。换句话说，我的证书很好，但它的签名者或其签名者的签名者未正确安装。确保您访问证书提供商的站点并获取正确的中间证书并将它们安装在您的服务器上，然后此警告就会消失。

可能不只是上面的情况，也可能是客户端没有更新列表...但我会确保这不仅仅是您没有先完全安装证书，然后再安装向客户传达并确保他们的列表得到更新。

Answer 13

不完全是同一个问题。在 docker 上，我将主机文件系统安装到 /etc ，其中已经安装了 OpenSSL 证书，但会被覆盖。

更改安装到不同的文件系统修复了它。

Answer 14

就我而言，发生这种情况是因为我使用的是过时的基础映像。因此，我将其从 java:8 更改为官方 openjdk:8 映像，并且在 wget 上不再收到错误。因此，您可能需要更改未过时的基本映像或操作系统，并且 wget 应该可以工作。我认为，根本原因是这样的： DST Root CA X3到期（2021 年 9 月）

Answer 15

如果您使用的是 Windows，只需转到控制面板，单击“自动更新”，然后单击“Windows 更新网站”链接。只需按照步骤操作即可。至少这对我有用，不再有证书问题，即每当我访问 https://www.dropbox.com 时和以前一样。