How to fix “Error: unable to verify the first certificate” in nodejs

How to fix “Error: unable to verify the first certificate” in nodejs

解决问题的经过

今天在检查node服务日志的时候,发现一个问题:

请求一些网络资源的时候(使用的requset),报了错误“Error: unable to verify the first certificate”。

可以看出是和证书相关的问题。因为我的网站是用的“Let’s Encrypt”生成的证书,“Let’s Encrypt”虽然已经被各个浏览器信任,但是在系统的根证书里并没有包含它。所以猜测应该是“Let’s Encrypt”导致的。
在查看了另一个同样出现报错的网站的证书之后,验证了我这个想法。
接下来就是怎么解决这个问题了。

搜索到了 stackoverflow 的一篇文章:
https://stackoverflow.com/questions/31673587/error-unable-to-verify-the-first-certificate-in-nodejs

最高投票的回答是这个

require(‘https’).globalAgent.options.ca = require(‘ssl-root-cas/latest’).create();

尝试了按照这个写了。结果发现还是报同样的错。
打开“node_modules”下的“ssl-root-cas”目录,发现里面有个pems,存储了许多证书发放机构的根证书,找了一下没有发现“Let’s Encrypt”的,可以猜测这个模块目前未将“Let’s Encrypt”列入可信任的机构里。于是需要尝试其他的办法。
还是上面的文章,往下翻可以看到一个投票数不高的回答(写这篇文章时的投票数是24),包含关键词“How do I get intermediate certificate”,提到(翻译)

1.需要获取缺失的.pem格式的中间证书(本例也就是“Let’s Encrypt”的证书,而不是“Let’s Encrypt”签署给网站的证书)
2a.使用node环境变量NODE_EXTRA_CA_CERTS加入证书
2b.或者,使用上面的 “ssl-root-cas”添加到 “ca”中

我选择的是第二种解决方案。

解决方案

首先,要先找到“Let’s Encrypt”的根证书
方法1:

#blog.woniufun.com为网站的域名,自行替换
openssl s_client -connect blog.woniufun.com:443 -servername blog.woniufun.com | tee logcertfile
openssl x509 -in logcertfile -noout -text | grep -i "issuer"
#本例输出“ CA Issuers - URI:http://cert.int-x3.letsencrypt.org/”

#下载证书文件
curl --output letsencrypt.crt "http://cert.int-x3.letsencrypt.org/"
#转换为pem格式
openssl x509 -inform DER -in letsencrypt.crt -out letsencrypt.pem -text

方法2(适用于有浏览器,以chrome为例):
1. chrome打开随便一个“Let’s Encrypt”签署证书的网址,如本站。
1. 点击地址栏左边查看证书。
1. 切换到“证书路径”标签。
1. 选中“Let’s Encrypt Authority X3”,点击“查看证书”。

1. 在新打开的“证书”窗口,切换到“详细信息”标签页,点击“复制到文件”
1. 导出证书的时候,格式选择“DER编码”

1. 点击下一步即可以选择一个证书存储路径,保存成一个后缀名是.cer的证书。
1. 如果你查看这一步导出的.cer文件和方法1下载的crt文件的md5值,你会发现它们是一样的,也就是同一个文件。
1. 转换成pem格式 openssl x509 -inform DER -in xxxx.crt -out letsencrypt.pem -text

其次,将pem文件放到node代码可以访问到的地方,如“/opt/ssl/letsencrypt.pem”

最后,在node代码中使用

let rootCas = require('ssl-root-cas/latest').create();
rootCas.addFile("/opt/ssl/letsencrypt.pem");
require('https').globalAgent.options.ca = rootCas;

此时再去请求网络资源,就不会再报错了。

这个解决方案适合所有发起网络请求的模块,包括但不限制于:https,fetch,request,axios…

不建议的解决方案

process.env['NODE_TLS_REJECT_UNAUTHORIZED'] = 0

这个配置项,将忽略所有TLS的错误,这个直接将https的优势全部舍弃了。

request({method: "GET", 
        "rejectUnauthorized": false, //添加这个选项
        "url": url})

同上,在请求的时候忽略证书授权错误,同样将https的优势全部舍弃了。

参考资料

https://stackoverflow.com/questions/31673587/error-unable-to-verify-the-first-certificate-in-nodejs
https://www.npmjs.com/package/ssl-root-cas

发表评论

电子邮件地址不会被公开。 必填项已用*标注