Résolution de l'erreur « Impossible d'obtenir le certificat d'émetteur local »

Lorsque vous travaillez avec des certificats SSL/TLS, rencontrer l'erreur « Impossible d'obtenir le certificat de l'émetteur local » peut être frustrant, en particulier lorsqu'elle interrompt la communication sécurisée entre un client et un serveur. Que vous essayiez de faire une requête HTTPS, de configurer un serveur Web ou d'accéder à un site Web sécurisé, cette erreur peut perturber le processus. Dans ce guide, nous explorerons les causes, les scénarios courants et les solutions étape par étape pour résoudre ce problème.
Que signifie l'erreur « Impossible d'obtenir le certificat de l'émetteur local » ?
L'erreur « Impossible d'obtenir le certificat de l'émetteur local » se produit généralement lorsqu'un système ne parvient pas à vérifier la chaîne de certificats SSL en raison d'un certificat racine ou intermédiaire manquant ou non fiable. Les certificats SSL reposent sur une chaîne de confiance, qui est une structure hiérarchique de certificats qui commence par un certificat racine émis par une autorité de certification (CA) de confiance. Si un maillon de cette chaîne est manquant ou mal configuré, le système ne peut pas établir une connexion sécurisée, ce qui entraîne cette erreur.
Scénarios courants où l'erreur se produit
Cette erreur peut survenir dans divers environnements et situations. Examinons quelques-uns des scénarios les plus courants :
Environnements de développement (par exemple, cURL, Node.js, Python)
Dans les environnements de développement, les développeurs utilisent souvent des outils tels que cURL, Node.js ou Python pour effectuer des requêtes HTTPS. Lorsque le système ne dispose pas des certificats racine nécessaires, ces requêtes peuvent échouer, affichant l'erreur « Impossible d'obtenir le certificat de l'émetteur local ». Cela se produit généralement si l'environnement de développement est isolé ou n'a pas accès aux certificats CA du système.
Navigateurs Web
Les navigateurs Web peuvent afficher cette erreur lorsqu'ils tentent d'accéder à un site Web dont la chaîne de certificats SSL est mal configurée. Cela peut être dû au fait que le site ne dispose pas de certificats intermédiaires ou utilise un certificat racine expiré. Le navigateur bloque l'accès par mesure de sécurité, avertissant l'utilisateur d'une connexion non fiable.
Configurations du serveur (par exemple, Apache, Nginx)
Dans les environnements de production, les serveurs Web comme Apache et Nginx peuvent déclencher cette erreur s'ils ne sont pas configurés avec la bonne chaîne de certificats. Des certificats intermédiaires mal configurés ou manquants sont une cause fréquente lors du déploiement de certificats SSL sur des serveurs Web.
Causes profondes de l'erreur
Comprendre les causes profondes de cette erreur est crucial pour la résoudre. Voici quelques raisons typiques pour lesquelles vous pourriez voir cette erreur :

1. Certificats racines ou intermédiaires manquants : le serveur est incapable de fournir une chaîne de certificats complète, ce qui conduit le client à se méfier de la connexion.
2. Chaîne de certificats mal configurée : la chaîne de certificats est mal ordonnée ou incomplète.
3. Certificats expirés ou non fiables : le certificat racine peut avoir expiré ou été révoqué, provoquant la rupture de la chaîne de certificats.
4. Certificats CA obsolètes : les certificats CA du système local peuvent être obsolètes ou manquer de certificats racine de confiance. Comment fonctionnent les chaînes de certificats SSL Pour mieux comprendre comment cette erreur se produit, il est important de savoir comment fonctionnent les chaînes de certificats SSL. Une chaîne de certificats commence par un certificat racine émis par une autorité de certification de confiance. Ce certificat racine est utilisé pour vérifier les certificats intermédiaires, qui à leur tour vérifient le certificat du serveur. Si un certificat de cette chaîne est manquant ou non fiable, le client ne pourra pas vérifier le certificat du serveur, ce qui entraînera l'erreur « Impossible d'obtenir le certificat de l'émetteur local ». S'assurer que la chaîne complète est correctement configurée est essentiel pour éviter ce problème. Étapes de dépannage pour résoudre l'erreur Maintenant que nous comprenons les causes de cette erreur, voyons comment la résoudre. Voici quelques étapes que vous pouvez suivre :
5. Vérifiez la chaîne de certificat L'une des premières choses à faire est de vérifier la chaîne de certificat SSL. Vous pouvez utiliser des outils comme OpenSSL pour inspecter la chaîne et voir si des certificats sont manquants ou mal configurés. Par exemple, l'utilisation de la commande suivante peut vous aider à vérifier la chaîne de certificat : frapper Copier le code openssl s_client -connectez votredomaine.com:443 -showcerts Cette commande affichera le certificat du serveur et les certificats intermédiaires qu'il fournit. Si la chaîne est incomplète, vous saurez quel certificat manque.
6. Mettre à jour les certificats racines de confiance Si l'erreur se produit parce qu'il manque au client un certificat racine approuvé, la mise à jour des certificats racine approuvés de votre système peut résoudre le problème. Sous Linux, par exemple, vous pouvez mettre à jour les certificats CA avec la commande suivante : frapper Copier le code sudo update-ca-certificats Cette commande garantit que votre système dispose du dernier ensemble de certificats racine de confiance, aidant ainsi à résoudre le problème.
7. Configurer correctement les ensembles de certificats Lors de la configuration de SSL sur des serveurs comme Apache ou Nginx, il est essentiel de concaténer le certificat du serveur avec les certificats intermédiaire et racine dans un ensemble de certificats. Si l’ensemble est incomplet ou en panne, les clients ne pourront pas vérifier la chaîne de certificats, ce qui entraînera l’erreur. Assurez-vous de configurer correctement la chaîne de certificats lors de la configuration de votre serveur Web. Correctifs spécifiques à la plate-forme Différentes plates-formes et outils nécessitent des solutions spécifiques pour corriger l'erreur « Impossible d'obtenir le certificat de l'émetteur local ». Vous trouverez ci-dessous des correctifs pour les environnements de développement courants :
8. cURL Dans cURL, cette erreur peut souvent être résolue en spécifiant le bon bundle CA à l'aide de l'indicateur --cacert. Vous pouvez télécharger les derniers certificats CA et les utiliser comme suit : frapper Copier le code curl --cacert /path/to/cacert.pem https://votredomaine.com Alternativement, vous pouvez mettre à jour les certificats CA sur votre système, que cURL utilisera par défaut.
9. Node.js Pour Node.js, vous devrez peut-être mettre à jour la variable d'environnement NODE_EXTRA_CA_CERTS pour inclure le chemin d'accès à vos certificats CA. Vous pouvez le faire avec la commande suivante : frapper Copier le code export NODE_EXTRA_CA_CERTS="/path/to/cacert.pem" Cela permettra à Node.js d'utiliser le bundle CA spécifié lors des requêtes HTTPS.
10. Demandes Python En Python, la bibliothèque de requêtes populaires peut déclencher cette erreur si elle ne trouve pas les certificats CA nécessaires. L'installation du package certifi, qui comprend une liste à jour des certificats racines approuvés, résout généralement le problème : frapper Copier le code certificat d'installation pip Vous pouvez également spécifier le bundle CA directement dans votre code à l'aide du paramètre verify : python Copier le code demandes d'importation request.get('https://votredomaine.com', verify='/path/to/cacert.pem') Prévention de l'erreur « Impossible d'obtenir le certificat de l'émetteur local » Pour éviter cette erreur à l'avenir, vous devez vous assurer que vos systèmes sont régulièrement mis à jour avec des certificats racine de confiance. L'automatisation de la vérification des certificats SSL pendant le déploiement et l'utilisation d'outils pour inspecter les chaînes de certificats peuvent aider à identifier les problèmes potentiels avant qu'ils n'impactent les environnements de production. De plus, assurez-vous toujours que la chaîne de certificats est correctement configurée avec tous les certificats intermédiaires nécessaires. Conclusion L'erreur « Impossible d'obtenir le certificat de l'émetteur local » peut perturber les connexions sécurisées, mais en comprenant les problèmes sous-jacents des chaînes de certificats SSL et en appliquant des correctifs ciblés, vous pouvez résoudre ce problème efficacement. Que vous travailliez avec des outils de développement tels que cURL et Node.js ou que vous configuriez des serveurs de production, suivre les étapes de dépannage décrites dans ce guide vous aidera à identifier et à corriger la cause première. En gardant les certificats CA de votre système à jour et en vérifiant les configurations SSL pendant le déploiement, vous pouvez éviter que cette erreur ne se reproduise à l'avenir.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!