CentOS 7编译升级OpenSSL 1.1.1k后，SSL证书验证失败（Verify return code: 20）的完整修复记录

CentOS 7升级OpenSSL后SSL证书验证失败的深度修复指南

当服务器在深夜突然停止响应所有加密连接请求时，那种冷汗直流的体验想必每位运维工程师都记忆犹新。上周我就经历了这样一场惊心动魄的故障排查——在将CentOS 7系统的OpenSSL从1.1.0k手动编译升级到1.1.1k版本后，原本运行良好的MQTT服务突然开始报"unable to get local issuer certificate"错误。这个错误代码20看似简单，却让我花了整整八小时才找到根本原因。本文将完整还原这次故障的排查过程，并分享两种不同场景下的终极解决方案。

1. 故障现象与初步诊断

凌晨2点23分，监控系统突然发出警报：所有依赖TLS加密的外部API调用全部失败。登录服务器后，首先使用openssl的s_client命令测试与消息推送服务的连接：

openssl s_client -connect msgpush.example.com:16651

返回的关键错误信息是：

Verify return code: 20 (unable to get local issuer certificate)

这个错误表明SSL/TLS握手过程中，客户端无法验证服务器证书的合法性。有趣的是，同样的服务在升级OpenSSL前工作完全正常。立即检查了以下关键点：

• 系统时间是否正确（时区与NTP同步）
• 证书链是否完整
• 防火墙规则是否有变更

常见误区：很多工程师会首先怀疑是证书本身的问题，但实际上在OpenSSL升级后，更可能是证书路径配置出现了问题。

2. 关键线索发现过程

经过三个小时的排查，终于通过对比线上环境（正常）和本地环境（异常）发现了决定性差异。执行以下命令显示了OpenSSL的默认配置目录：

openssl version -d

在正常工作的服务器上输出：

OPENSSLDIR: "/etc/pki/tls"

而在故障服务器上却是：

OPENSSLDIR: "/usr/local/ssl"

进一步检查/etc/pki/tls目录，发现存在关键符号链接：

ls -l /etc/pki/tls/cert.pem lrwxrwxrwx. 1 root root 49 Apr 5 2020 /etc/pki/tls/cert.pem -> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem

而编译安装的OpenSSL 1.1.1k默认不会创建这个链接，这就是问题的根源！

3. 解决方案一：修复证书链接

对于大多数情况，只需重建系统证书链接即可解决问题：

mkdir -p /usr/local/ssl/certs ln -sf /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem /usr/local/ssl/certs/cert.pem

验证修复效果：

openssl s_client -connect msgpush.example.com:16651 -showcerts

关键点：不同Linux发行版的证书存储位置可能不同，CentOS/RHEL使用/etc/pki目录，而Debian/Ubuntu则使用/etc/ssl/certs。

4. 解决方案二：处理空证书文件情况

在某些特殊情况下，即使创建了符号链接，验证仍可能失败。这时需要：

1. 首先确认证书文件是否为空：

file /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem

2. 如果文件为空或损坏，可以从正常服务器复制：

scp root@healthy-server:/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem /etc/pki/ca-trust/extracted/pem/

3. 更新CA信任存储：

update-ca-trust

5. 高级配置：自定义OpenSSL设置

对于需要精细控制SSL/TLS参数的场景，可以修改OpenSSL配置文件：

vim /etc/ssl/openssl.cnf

添加以下内容：

[openssl_init] ssl_conf = ssl_config [ssl_config] system_default = tls_defaults [tls_defaults] CipherString = DEFAULT@SECLEVEL=2 MinProtocol = TLSv1.2

性能提示：SECLEVEL=2提供了更好的安全性，但可能影响老旧客户端的兼容性。

6. 预防措施与最佳实践

为避免类似问题再次发生，建议：

1. 编译安装前检查：

   • 备份原有OpenSSL配置
   • 记录当前证书存储位置

2. 安装后验证清单：

   • 检查openssl version -d输出
   • 验证cert.pem符号链接
   • 测试关键服务的SSL连接

3. 长期维护建议：

   • 考虑使用update-alternatives管理多版本
   • 定期检查CA证书更新

# 示例：使用alternatives系统 update-alternatives --install /usr/bin/openssl openssl /usr/local/ssl/bin/openssl 100

7. 疑难问题排查工具箱

以下是排查SSL证书问题时最实用的命令集合：

1. 检查证书链完整性：

openssl verify -CAfile /etc/pki/tls/certs/ca-bundle.crt your-cert.pem

2. 查看证书详细信息：

openssl x509 -in certificate.crt -text -noout

3. 测试SMTP服务的SSL：

openssl s_client -connect smtp.example.com:465 -showcerts

4. 检查特定密码套件支持：

openssl ciphers -v 'ECDHE-RSA-AES256-GCM-SHA384'

记录发现：在某个案例中，问题实际上是由于LD_LIBRARY_PATH没有包含新OpenSSL库路径导致的，可以通过以下命令检查：

ldd $(which openssl)

这次故障教会我一个重要教训：在编译升级关键系统组件时，不仅要关注新功能，更要确保与现有配置的兼容性。现在我的检查清单上永远多了一项——验证证书存储路径。