生成的 ssl 证书有的客户端不支持

[gsytzsh]

Steps to reproduce

Debug log

acme.sh  --issue .....   --debug 2

acme.sh --issue --dns dns_ali -d "*.test.abc.com"生成的 ssl 证书，谷歌浏览器访问没问题，但是 curl 访问的时候不支持证书,curl 7.81.0

[github-actions]

Please upgrade to the latest code and try again first. Maybe it's already fixed. acme.sh --upgrade If it's still not working, please provide the log with --debug 2, otherwise, nobody can help you.

[ninetian]

你这个问题问的和这半毛钱关系也没啊

是证书链引起的

是你本地系统里缺少完整的根证书包 或者根证书包过期了，CURL依赖操作系统的 ROOT CA Bundle

可以这里下载

curl http://curl.haxx.se/ca/cacert.pem -o /etc/pki/tls/certs/ca-bundle.crt 

下载最新的根证书包，每个系统存储的位置不一样

可以这样测试

curl http://curl.haxx.se/ca/cacert.pem -o ca.pem
curl --cacert ca.pem https://你的域名

没问题就是没问题， 如果有问题可能是签发的根证书有问题
把ROOT的CA 合并到 cacert.pem里

cat *.pem >> cacert.pem

[garryshield]

配置服务器(nginx traefik)的时候用 最好使用 fullchain.cer, 里面有完整的证书链。
其实 fullchain.cer = <YOUE DOMAIN>.cer + ca.cer

不然话就手动添加到系统可信证书里（其实自签证书就是这样）
Debian 12

sudo cp /XXX/fullchain.cer /usr/local/share/ca-certificates/XXX.crt
sudo update-ca-certificates -f

然后用 curl 应该就可以了

如果要删除证书，直接删除/usr/local/share/ca-certificates/XXX.crt 然后 sudo update-ca-certificates -f

openwrt 好像没有 update-ca-certificates 命令，具体看官方文档
Installing and trusting a root CA certificate in a PKI