当前位置：首页 > news >正文

修复SSL证书链不完整问题certificate verify failed unable to get local issuer certificate

news 来源：原创 2025/9/7 22:14:21

文章目录

前言
排查过程
- 怀疑文章平台图片转存问题
- 尝试使用 Python 代码下载图片
- 使用 SSL Labs Server Test 验证猜想
- 回顾 SSL 安装命令
- - ACME 生成的证书
验证
- 使用 [SSL Labs Server Test](https://www.ssllabs.com/ssltest/index.html) 验证
- 文章发布平台转存验证
个人简介

前言

最近，我在服务器上更新了 SSL 证书后，虽然网站可以正常访问，浏览器显示证书有效，但在部分文章平台引用服务器上的图片时，图片无法被转存。

排查过程中使用 Python 代码尝试下载图片时，报错如下，怀疑是 SSL 证书链不完整：

SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate')

进一步使用 SSL Labs Server Test 进行验证，发现服务器的证书链确实不完整，导致部分客户端无法正确验证 SSL 证书。最终通过调整 Nginx 的 SSL 配置解决了这个问题。本文将详细介绍如何排查和解决 SSL 证书更新后图片无法转存的问题。

排查过程

怀疑文章平台图片转存问题

在部分文章发布平台上，我们尝试将服务器上的图片转存到平台的存储系统，但始终失败。
为了排除文章发布平台的潜在问题，我测试了非本服务器的其他图片地址，发现这些图片可以成功转存。这表明问题出在本服务器，而不是文章平台的转存机制。

尝试使用 Python 代码下载图片

怀疑是 Nginx 服务器 SSL 证书配置问题，为了进一步验证猜想使用 Python 代码直接下载服务器上的图片，代码如下：

import requestsurl = "https://xxxx/temp-photos/U0AUapam9u.png"
response = requests.get(url)if response.status_code == 200:with open("image.png", "wb") as f:f.write(response.content)print("图片转存成功")
else:print("图片转存失败")# 出现如下报错：
SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate')

错误表明 Python 无法验证服务器的 SSL 证书，通常是因为服务器的证书链不完整，导致某些客户端无法正确验证证书。

使用 SSL Labs Server Test 验证猜想

为了进一步验证猜想，我使用 SSL Labs Server Test 对服务器的 SSL 证书进行检测，结果显示：

This server's certificate chain is incomplete. Grade capped to B.

错误表明服务器没有提供完整的证书链，导致某些客户端（如 Python requests、文章平台的图片转存服务）无法正确验证 SSL 证书。
当然我们可以使用 verify=False 忽略证书校验下载，但是当前场景我们无法使用该方案，也是一个治标不治本的方案。

回顾 SSL 安装命令

安装的证书仅包含本域名，没有使用完整的证书链。

acme.sh --install-cert -d xxxx \--key-file /root/nginx/conf/conf.d/xxxx.key \--cert-file /root/nginx/conf/conf.d/xxxx.cer \--reloadcmd "docker container restart nginx"

修复后命令，使用完整证书链 --fullchain-file：

acme.sh --install-cert -d xxxx \--key-file /root/nginx/conf/conf.d/xxxx.key \--fullchain-file /root/nginx/conf/conf.d/xxxx.cer \--reloadcmd "docker container restart nginx"

ACME 生成的证书

验证

使用 SSL Labs Server Test 验证

检测结果正常

文章发布平台转存验证

正常转存

个人简介

👋 你好，我是 Lorin 洛林，一位 Java 后端技术开发者！座右铭：Technology has the power to make the world a better place.

🚀 我对技术的热情是我不断学习和分享的动力。我的博客是一个关于Java生态系统、后端开发和最新技术趋势的地方。

🧠 作为一个 Java 后端技术爱好者，我不仅热衷于探索语言的新特性和技术的深度，还热衷于分享我的见解和最佳实践。我相信知识的分享和社区合作可以帮助我们共同成长。

💡 在我的博客上，你将找到关于Java核心概念、JVM 底层技术、常用框架如Spring和Mybatis 、MySQL等数据库管理、RabbitMQ、Rocketmq等消息中间件、性能优化等内容的深入文章。我也将分享一些编程技巧和解决问题的方法，以帮助你更好地掌握Java编程。

🌐 我鼓励互动和建立社区，因此请留下你的问题、建议或主题请求，让我知道你感兴趣的内容。此外，我将分享最新的互联网和技术资讯，以确保你与技术世界的最新发展保持联系。我期待与你一起在技术之路上前进，一起探讨技术世界的无限可能性。