NSS: client certificate not found (nickname not specified)

最新推荐文章于 2024-05-08 13:39:14 发布
最新推荐文章于 2024-05-08 13:39:14 发布
阅读量4k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 故障记录 文章标签: 服务器 https ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/MicePro/article/details/123708586
博客记录了在使用curl进行接口联调时遇到的NSS错误:clientcertificatenotfound(nicknamenotspecified)。最初问题表现为证书未被信任,解决方法是将自签名证书的CA加入信任。但之后问题转变为找不到客户端证书,最终解决方案是获取并使用客户端证书(p12),通过openssl转换为.pem格式,并在curl命令中指定--cert和--key参数,或者合并为all.pem后使用。问题成功解决。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

NSS: client certificate not found (nickname not specified)报错排查及解决

curl: (35) NSS: client certificate not found (nickname not specified)

排查好久,这里记录下这个坑。

初始

这是第三方的一个接口,测试联调时,curl https://xxx.com.cn发现提示证书未信任,

curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

看到熟悉的报错,我知道将对方自签名证书的CA加入信任即可。一通操作之后却还是不行,但是报错变成了新的.

curl: (35) NSS: client certificate not found (nickname not specified)

-vvv也还是没发现什么新的有用信息。
curl -vvv https://xxxxx 时总是报错

* About to connect() to xxx.com.cn port 8912 (#0)
*   Trying 111.122.224.223...
* Connected to gwtest.ccic-net.com.cn (111.122.224.223) port 8912 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* NSS: client certificate not found (nickname not specified)
* NSS error -12227 (SSL_ERROR_HANDSHAKE_FAILURE_ALERT)
* SSL peer was unable to negotiate an acceptable set of security parameters.
* Closing connection 0
curl: (35) NSS: client certificate not found (nickname not specified)

原因

其实报错提示很明显,client certificate not found,开始没想到是双向认证,一直以为是CA根证书信任没弄好,结果一直无法解决。

解决

找第三方拿到客户端证书jks证书(p12)。

openssl pkcs12 -in xxx.p12 -out client.pem -nokeys       #客户端个人证书的公钥
openssl pkcs12 -in xxx.p12 -out key.pem -nocerts -nodes     #客户端个人证书的私钥

也可以转换为公钥与私钥合二为一的文件;
openssl pkcs12 -in xxx.p12 -out all.pem -nodes                                   #客户端公钥与私钥,一起存在all.pem中

使用client.pem+key.pem

curl --cert client.pem --key key.pem https://www.xxxx.com

或使用all.pem

curl --cert all.pem  https://www.xxxx.com

问题解决~

解决ERR: cURL error 77: Unable to initialize NSS: -8023
bigwood99的博客
11-06 1249
研发反映一个问题,上传文件时失败,日志内错误信息如下: ERR: cURL error 77: Unable to initialize NSS: -8023 (SEC_ERROR_PKCS11_DEVICE_ERROR)
【解决】调第三方https接口概率性报cURL error 28: NSS: client certificate not found (nickname not specified)错误
重诺,守时。
06-19 2万+
错误场景描述 使用guzzle的curl方法,连接第三方https接口,概率性出现 cURL error 28: NSS: client certificate not found (nickname not specified) 报错,查看phpinfo发现curl的ssl_version为nss。另,该https接口不需要证书认证,且接口数据较大。 错误查找 一般找错都是根据错误信息...
使用curl进行https通信遇到的问题总结
fusan2004的博客
01-12 5277
问题一:使用curl时提示找不到client.key,提示错误:curl: (35) NSS: client certificate not found: client.crt 解决方法: 打开-v提示以下问题: 修改后通过,提示其他错误 问题二:使用curl时提示以下错误:curl: (58) unable to load client key: -8178 (SEC_ERROR_BAD_KEY) 解决方法: 主要是因为证书是通过openssl生成的,而服务器上安装了NSS,导致c
zabbix邮箱发送故障
A_STRANG_CAT的博客
05-08 1533
在报警媒介中,如果把对应的邮箱告警的安全连接设置成 “无”,则对应的,在测试邮件的时候会告警,同时页面下访会有小框提示:zabbix server is not running: the information displayed may not be current。博主这边在设置的时候将SMTP对应的端口设置错误,选择TLS时应该将对应的端口修改成587,之前一直是设置的25端口,导致邮件发送失败。选择SSL/TLS的时候按照自己服务器开启的端口来配置,具体的可以参考这篇博文。
k8s之Istio Gateway 单向/双向/透传TLS配置(1)
jiayu的博客
04-28 2259
这篇文章将根据Istio官方案例实现Gateway的TLS或mTLS,以及HTTPS透传
微信退款 报错 SSL certificate not found: cert/apiclient_cert.pem
weixin_30667301的博客
05-04 6772
检查目录和证书的权限 转载于:https://www.cnblogs.com/JANCHAN/p/10808236.html
perl-nss:NSS 库的 Perl 接口
06-16
my $cert = Crypt::NSS::X509::Certificate->new(slurp('derfile')); say $cert->subject(); say $cert->issuer(); my $valid = $cert->verify_cert(); if ( ! $cert->match_name('www.testdomain') ) { # Domain ...
Error initializing NSS: Unknown error -8015.(zabbix使用脚本配置邮件告警报错解决)
weixin_44352521的博客
02-28 2796
背景:在安装完 mailx 之后,在 Linux 上测试发送邮件,是可以成功接收到的;但是在自己配置了脚本告警之后(通过调用脚本的方式来进行邮件告警),在发送测试邮件的时候提示 “Media type test successful.” 这表示测试是成功的,但是却迟迟没有收到邮件。于是查看邮件日志发现是有报错 Error initializing NSS: Unknown error -8015. 的 首先出现这个报错的原因主要是因为 zabbix 监控系统的执行用户和属组不是 root 用户,但是我们
nsshttps:github.comnss-devnss的只读镜像
02-16
网络安全服务(NSS)是一组库,旨在支持启用安全性的客户端和服务器应用程序的跨平台开发。 NSS支持TLS 1.2,TLS 1.3,PKCS#5,PKCS#7,PKCS#11,PKCS#12,S / MIME,X.509 v3证书和其他安全标准。 入门 为了...
nss-3.9 ubuntu linux
12-24
标题“nss-3.9 ubuntu linux”和描述“nss-3.9 linux”都提到了“nss-3.9”,这是一个针对Linux系统,特别是Ubuntu的版本号,其中“nss”代表Network Security Services。Network Security Services(NSS)是Mozilla...
curl errno 28,问题排查
zhou110120119xi的博客
08-21 3万+
    昨天在测试服务器测试APP支付功能的时候突然发现无法调起微信支付,支付宝是可以支付的。因为测试服务器和商用服务器用的环境和代码都是一致的,所以立刻切换到商用服务器去测试一下微信支付,还好,商用服务器一切正常(不正常早就炸锅了)。只有测试服务器不能用,这样就不用着急忙慌了,我便开始了慢慢修复之路。     登录测试服务器,把微信支付的重要地方都记录log,很快就发现是curl请求微信服务器...
mac curl: (58) SSL: Can't load the certificate and its private key: OSStatus -25299 的解决方案
weixin_34174105的博客
03-13 449
2019独角兽企业重金招聘Python工程师标准>>> ...
【解决】AH01909: www.example.com:443:0 server certificate does NOT include an ID....
热门推荐
重诺,守时。
07-21 4万+
问题描述今天在配置apache虚拟地址时出现500错误,即绑定127.0.0.1的host后访问配置好的虚拟地址,浏览器返回500 Internal Server Error,打开apache的error.log查看错误日志,发现如下错误代码和描述:[ssl:warn] [pid 29276:tid 292] AH01909: www.example.com:443:0 server certifi
微信企业现金支付 请求失败 unable to use client certificate (no key found or wrong pass phrase?)
hsw
07-11 5722
$ch = curl_init ();$MENU_URL="https://api.mch.weixin.qq.com/mmpaymkttransfers/promotion/transfers"; curl_setopt ( $ch, CURLOPT_URL, $MENU_URL ); curl_setopt ( $ch, CURLOPT_CUSTOMREQUEST, "POST" ); cur
php curl https 证书问题 58错误总结
tangsw503935298的专栏
08-27 1万+
@(mac os x)[mac][os x][curl][https][证书][SSL][OpenSSL]php curl https 证书问题 58错误总结在调试微信退款时,报了一个奇怪的错误 curl_errno($ch) 返回 58 错误很费解。于是到google、百度 查关键字 php curl 证书58错误 微信退款 58错误 找对应的解决方案。 但是得到的回答都是 证书路径是相对
CURL HTTPS 返回 ERRNO 35(SSL CONNECT ERROR) 错误
复利人生的博客
08-29 1万+
CURL HTTPS 返回 ERRNO 35(SSL CONNECT ERROR) 错误 微信支付获取 prepay id 偶尔失败问题总结。 微信支付会要求先从微信服务器获取 prepay id (https://api.mch.weixin.qq.com/pay/unifiedorder)。我们开发完成后(语言是PHP,使用微信的支付SDK,请求时使用curl),在测试环境的机器上,基本没有发...
SPI1配置Hardware NSS: Disable应该怎么弄
最新发布
03-26
<think>好的,用户现在询问的是关于STM32CubeMX中如何配置SPI的Hardware NSS为Disable的问题。之前我给出的配置步骤里提到过这个设置,但用户可能需要更详细的指导。首先,我需要回忆STM32的SPI配置,特别是NSS引脚的作用和配置选项。 用户可能是在实际配置时遇到了问题,或者在按照之前的教程操作时对这一步不太确定。他们可能不太清楚NSS引脚的作用,或者为什么需要禁用硬件NSS。因此,我需要解释清楚NSS的作用,以及禁用后的影响。 首先,NSS(Slave Select)是SPI协议中用于选择从设备的信号。在硬件模式下,NSS由硬件自动管理,主模式下通常不需要使用,但某些情况下可能需要软件控制。禁用硬件NSS意味着用户需要手动控制片选信号,比如通过GPIO引脚来拉高或拉低CS引脚。 接下来,我需要详细说明在STM32CubeMX中的配置步骤。用户可能想知道在图形界面中如何找到这个选项,具体的位置在哪里,以及相关的参数设置。需要分步骤说明,从选择SPI1开始,到参数设置中的Hardware NSS选项,选择Disable,并确保正确分配GPIO作为软件控制的CS引脚。 同时,用户可能还关心为什么需要这样配置,比如使用软件控制CS的好处,或者硬件NSS可能带来的问题。例如,当使用多个从设备时,硬件NSS可能不够灵活,需要软件控制每个设备的片选。 另外,用户可能在代码中看到CS引脚的定义,比如PA4作为GPIO输出,需要解释这部分代码是如何与SPI配置配合的。可能需要提到在初始化代码中如何设置GPIO,以及在数据传输时如何手动控制CS引脚的电平。 还要注意可能的常见错误,比如忘记配置GPIO引脚为输出模式,或者在代码中没有正确控制CS信号,导致SPI通信失败。这时候需要提醒用户在配置后检查GPIO的设置,并确保在传输数据前拉低CS,传输完成后拉高。 最后,用户可能需要一个完整的配置流程示例,结合之前的教程,确保每一步都正确无误。需要确认所有相关配置步骤,包括SPI模式、时钟极性、相位、数据大小等,都正确设置,并且和OLED屏幕的规格相符。 总结来说,用户需要明确的步骤来禁用硬件NSS,理解其背后的原因,以及如何在代码中正确使用软件控制的CS引脚。确保回答清晰,覆盖配置步骤、原理和常见问题,帮助用户顺利完成配置。</think>在STM32CubeMX中配置SPI的**Hardware NSS为Disable**是开发中常见的关键操作,以下是详细配置流程及原理说明: --- ### **一、NSS信号的作用** NSS(Slave Select)是SPI协议中用于**选择从设备**的信号: - **硬件模式**:由SPI控制器自动管理片选信号 - **软件模式**:需手动控制GPIO电平实现片选 - **禁用场景**:当使用**多个从设备**或需要**灵活控制片选时序**时 --- ### **二、STM32CubeMX配置步骤** 1. **打开SPI1配置界面** - 左侧外设树找到 `Connectivity` → `SPI1` - 工作模式选择 `Full-Duplex Master` 2. **参数设置** ```plaintext Parameter Settings → Hardware NSS Signal → 选择 Disable ``` 3. **引脚验证** - 确认NSS引脚(默认PA4)已自动变为普通GPIO - 若需使用其他GPIO作为CS: - 在`Pinout View`中手动分配一个GPIO(如PA4) - 设置该GPIO为`GPIO_Output`模式 4. **配置示例(以PA4作为软件CS)** | 引脚 | 功能 | 模式 | |------|---------------|--------------------| | PA4 | GPIO_Output | 推挽输出/高速模式 | | PA5 | SPI1_SCK | Alternate Function | | PA7 | SPI1_MOSI | Alternate Function | --- ### **三、Keil代码实现** 在生成的代码中需手动控制CS信号: ```c // 宏定义简化操作(需根据实际引脚修改) #define OLED_CS_PIN GPIO_PIN_4 #define OLED_CS_PORT GPIOA // 传输数据时的典型操作流程 void SPI_SendData(uint8_t *data, uint16_t size) { HAL_GPIO_WritePin(OLED_CS_PORT, OLED_CS_PIN, GPIO_PIN_RESET); // 拉低CS HAL_SPI_Transmit(&hspi1, data, size, 100); // 传输数据 HAL_GPIO_WritePin(OLED_CS_PORT, OLED_CS_PIN, GPIO_PIN_SET); // 拉高CS } ``` --- ### **四、常见问题排查** 1. **SPI无响应** - 检查GPIO时钟是否使能 - 验证CS引脚电平是否在传输期间保持低电平 - 用逻辑分析仪捕捉SCK/MOSI信号波形 2. **通信错位** - 确认SPI的CPOL/CPHA设置与从设备一致 - 检查数据大小设置(通常OLED使用8bit模式) 3. **性能优化** ```c // 使用寄存器直接操作可提高速度(示例代码) void Fast_CS_Control(uint8_t state) { if(state) OLED_CS_PORT->BSRR = OLED_CS_PIN; // 置高 else OLED_CS_PORT->BSRR = (uint32_t)OLED_CS_PIN << 16; // 置低 } ``` --- ### **五、硬件NSS与软件NSS对比** | 特性 | 硬件NSS | 软件NSS | |--------------------|--------------------------|--------------------------| | 控制方式 | 自动触发 | 手动GPIO操作 | | 多从机支持 | 需硬件支持多CS | 灵活扩展 | | 时序精度 | 精确到时钟周期 | 依赖代码执行速度 | | 典型应用场景 | 单一从设备 | OLED/多外设/自定义时序 | --- 通过以上配置,可确保SPI通信在**禁用硬件NSS**时仍能稳定工作。建议在首次配置时使用STM32CubeMX的`Clock Configuration`界面验证SPI时钟频率是否符合从设备要求(一般OLED屏支持0-10MHz范围)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MicePro

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值