Как исправить ошибку SSL: unable to get local issuer certificate

Проблема
Клиент (curl, OpenSSL, браузер) не может проверить сертификат сервера, так как не находит цепочку доверия до корневого центра сертификации (CA) в локальном хранилище.

Причины
- Отсутствует или повреждён корневой/промежуточный сертификат CA в системном хранилище доверенных корней.
- Сервер не отправляет полную цепочку сертификатов (только свой, без промежуточных).
- Неверный порядок сертификатов в цепочке.
- Использование самоподписанного сертификата без добавления его в доверенные.
- Устаревший набор корневых сертификатов ОС/OpenSSL.

Решение

1. Проверить цепочку, которую отдаёт сервер

Убедиться, что сервер передаёт все промежуточные сертификаты. Если нет — исправлять на стороне сервера.

2. Получить недостающие сертификаты CA
Скачать корневой и промежуточные сертификаты с сайта CA или через openssl s_client, сохранить в .crt/.pem.

3. Добавить сертификаты в локальное хранилище

Linux (Debian/Ubuntu)


Linux (RHEL/CentOS/Fedora)


Windows
- Открыть `mmc` -> `Добавить оснастку "Сертификаты"` (для локального компьютера).
- Импортировать сертификат в `Доверенные корневые центры сертификации` (для промежуточных — в `Промежуточные центры`).

4. Использовать конкретный файл CA при вызове curl/OpenSSL


5. Если проблема в Python/requests
Указать путь к корневому сертификату через переменную окружения:


6. Для самоподписанного сертификата
- Добавить его в доверенные (как выше) или игнорировать проверку (только для тестов).

Примечание: -k/–insecure небезопасно, только разработка/тестирование.

7. Обновить корневые сертификаты системы


8. Проверить корректность цепочки

Ошибка `unable to get local issuer certificate` — добавить промежуточный.