curl：（58）无法加载客户端密钥-8178

Question

我遇到了curlcommand 的 SSL 问题。我想使用我的 SSL 客户端证书和私钥访问 URL。

这是我的命令：

$ curl -k -v "https://myurl.com/" --cert ./certificate.pem --key ./private.key

* About to connect() to xx.xx.xx.xx port 23444 (#0)
*   Trying xx.xx.xx.xx... connected
* Connected to xx.xx.xx.xx (xx.xx.xx.xx) port 23444 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* warning: ignoring value of ssl.verifyhost
* Unable to load client key -8178.
* NSS error -8178
* Closing connection #0
curl: (58) Unable to load client key -8178.

密钥是受密码保护的，curl 并没有要求我输入密码，这很奇怪。即使我使用--pass 传递密码，我仍然会收到同样的错误。

似乎没有考虑参数--key，因为如果我用我的文件系统上不存在的foo.key 替换，我仍然会得到同样的错误。

但是，如果使用：

$ wget --certificate=./certificate.pem --private-key=private.key "https://myurl.com/" --no-check-certificate

我可以访问我的网址。

你有什么想法吗？

Answer 1

我也遇到过同样的问题，终于找到了解决办法，或许能帮到你。

失败是由于PKCS#8格式的私钥：

• PKCS#8 私钥以 -----BEGIN ENCRYPTED PRIVATE KEY----- 标头
  或
  -----BEGIN PRIVATE KEY----- 标头

  使用此键 curl + openssl 将起作用，但 curl + nss + libnsspem.so 不会。

• 使用以
  -----BEGIN RSA PRIVATE KEY----- 标头开头的 RSA 私钥

  curl + openssl 和 curl + nss + libnsspem.so 都可以。

所以使用这个命令

openssl pkcs8 -in path/to/your/pkcs8/key -out path/to/rsa/key

将 PKCS#8 密钥转换为传统的 RSA 密钥。

Answer 2

如果您的证书有密码，您应该在证书名称之后添加它：

curl -k -v "https://myurl.com/" --cert ./certificate.pem:passphrase --key ./private.key