这个报错通常是因为客户端信任存储中缺少签发服务器证书的根证书或中间证书，最推荐的做法是更新系统的 CA 证书包或在命令中显式指定可信的 CA 文件。

命令速用版

如果你急需临时验证或脚本调用，可以参考以下命令。生产环境请谨慎使用跳过验证的参数。

# Ubuntu/Debian 更新 CA 证书包
sudo apt-get update
sudo apt-get install `--reinstall` ca-certificates

# CentOS/RHEL 更新 CA 证书包
sudo yum update ca-certificates

# 临时指定 CA 文件运行 curl
curl `--cacert` /etc/ssl/certs/ca-certificates.crt https://example.com

# 查看服务器发送的证书链
openssl s_client -connect example.com:443 -showcerts

为什么会这样

SSL/TLS 握手过程中，服务器会把自己的证书发给客户端。为了证明这个证书是可信的，服务器通常还需要发送“中间证书”。客户端拿到证书后，会去本地的“信任存储”（Trust Store）里找签发这张证书的根机构（CA）。

报错 unable to get local issuer certificate 意味着客户端在本地信任存储里找不到对应的根证书或中间证书。常见原因有两个：一是客户端系统太老，CA 包没更新；二是服务器配置不当，没把中间证书一起发过来，导致客户端没法向上追溯到可信根。

分步处理

建议按照以下顺序排查，先排除服务端问题，再处理客户端配置。

1. 检查服务端证书链是否完整

使用 openssl 命令查看服务器返回的证书序列。如果只看到一张证书（通常是叶子证书），说明中间证书缺失。

openssl s_client -connect your-domain.com:443 -showcerts

正常情况应该看到至少两张证书（叶子证书 + 中间证书）。如果缺失，需要联系证书颁发机构重新下载完整链，并在 Web 服务器（Nginx/Apache）配置中合并证书文件。

2. 更新客户端 CA 证书包

如果是客户端环境（如 Linux 服务器、容器镜像），CA 包可能过时。执行系统对应的更新命令（见命令速用版）。更新后无需重启服务，但重新运行的程序会加载新证书。

3. 代码或配置中指定 CA 路径

某些编程语言或工具默认不读取系统 CA 路径。例如 Python requests 库、PHP curl 扩展，需要在代码中指定 verify 路径。

# Python 示例
requests.get('https://example.com', verify='/etc/ssl/certs/ca-certificates.crt')

怎么验证是否生效

处理完成后，不要只看程序日志，要用工具独立验证。

1. 使用 openssl verify

openssl verify -CAfile /etc/ssl/certs/ca-certificates.crt your-cert.pem

返回 OK 表示信任链完整。

2. 使用 curl verbose 模式

curl -v https://your-domain.com

观察输出中是否有 SSL certificate verify ok，且没有报错信息。

常见坑

• 不要随意关闭验证：代码里写 verify=False 或 -k 参数虽然能消除报错，但会留下中间人攻击风险，生产环境严禁这样做。
• 容器环境易缺失：Docker 容器（特别是 Alpine 基础镜像）往往没有预装 CA 包，需要在 Dockerfile 中显式安装 ca-certificates。
• 自签名证书特殊处理：如果是内部自签名证书，必须将自签根证书手动导入客户端信任存储，而不是更新公共 CA 包。

参考来源

• OpenSSL Project, "SSL Certificate Verification", https://www.openssl.org/docs/
• Curl Documentation, "SSL Certificate Verification", https://curl.se/docs/sslcerts.html
• Ubuntu Manpages, "update-ca-certificates", https://manpages.ubuntu.com/manpages/jammy/man8/update-ca-certificates.8.html