1. 什么是 ssl3_get_server_certificate verify failed 错误?

　　ssl3_get_server_certificate verify failed 错误通常发生在客户端在与服务器建立 SSL 连接时，无法验证服务器的 SSL 证书有效性，导致连接失败。SSL 证书是确保网站安全和用户信任的关键，如果客户端无法验证服务器证书的合法性，出于安全原因会拒绝建立连接，提示用户存在安全风险。

　　2. 错误的可能原因

　　SSL 证书无效或已过期

　　当服务器的 SSL 证书已过期或被吊销时，客户端无法验证证书的有效性，从而报告此错误。

　　证书颁发机构(CA)不被信任

　　客户端的系统或浏览器中可能没有相关 CA 的根证书，因此无法验证服务器 SSL 证书的合法性。

　　中间证书缺失

　　有些 SSL 证书需要中间证书来验证完整的信任链。如果中间证书没有正确安装，客户端在验证时会失败，导致错误提示。

　　域名不匹配

　　服务器 SSL 证书中指定的域名与实际访问的域名不匹配，这会导致客户端在验证时发现证书中的信息不符合访问条件，从而拒绝连接。

　　系统时间不正确

　　客户端设备的系统时间如果与当前时间相差过大，可能会导致 SSL 证书的验证失败，因为 SSL 证书有一个特定的有效时间段。

　　3. 解决方案

　　根据不同的原因，您可以采取以下方法来解决 ssl3_get_server_certificate verify failed 错误：

　　3.1 检查 SSL 证书的有效期

　　使用在线工具(如 SSL Labs SSL Test)来检查服务器的 SSL 证书是否已过期。如果证书已过期，您需要联系服务器管理员或证书颁发机构(CA)续期或更换证书。

　　3.2 安装缺失的中间证书

　　确保所有必需的中间证书已经正确安装，以建立完整的信任链。您可以从证书颁发机构的网站下载中间证书，并将其安装到服务器上。

　　3.3 检查域名配置

　　检查 SSL 证书中的 通用名称(Common Name, CN) 和 主题备用名称(Subject Alternative Name, SAN) 是否包含用户访问的域名。如果证书中的域名不匹配，您需要重新申请包含正确域名的 SSL 证书。

　　3.4 更新客户端根证书

　　客户端设备可能缺少某些证书颁发机构的根证书，导致无法验证 SSL 证书。确保您的操作系统和浏览器保持最新状态，因为它们会随更新添加受信任的根证书。

　　3.5 校正系统时间

　　确保客户端设备的系统时间正确。错误的系统时间会导致 SSL 证书的有效期判断出错，导致连接失败。您可以通过网络时间协议(NTP)服务器同步系统时间。

　　3.6 取消 SSL 验证(不推荐)

　　在开发和测试环境中，您可以临时禁用 SSL 证书的验证来避免此错误，例如在 curl 命令中添加 -k 或 --insecure 参数。但请注意，这会降低连接的安全性，不推荐在生产环境中使用。curl -k https://git.xxxx.com

　　4. 如何预防 ssl3_get_server_certificate verify failed 错误

　　定期更新 SSL 证书：SSL 证书有固定的有效期，一般为 13 个月。为了防止证书到期，建议定期检查并在到期前及时续期。

　　使用可信的 CA 颁发证书：选择知名且受信任的证书颁发机构(CA)，如 Let’s Encrypt、DigiCert、GlobalSign 等，确保用户的浏览器或系统能够信任这些证书。

　　配置完整的证书链：确保服务器上安装了完整的证书链，包括所有必需的中间证书。可以通过在线工具检测证书链的完整性，避免中间证书缺失导致的验证失败。

　　确保服务器和客户端时间同步：定期检查服务器和客户端的时间设置，使用 NTP 服务器进行同步，避免因时间不正确而导致的 SSL 错误。