这是近期关于 Curl、NSS 最后一篇文章，客观的说，国内对于这方面（尤其是 NSS）的知识介绍的非常少，很多人可能会使用 Curl，但并不知道它是如何支持 HTTPS 协议的，一旦遇到 Curl 不能请求 HTTPS 网站的时候，就抓虾了。网络上也充斥着各种不严谨的文章，让对这方面感兴趣的技术人员望而却步，如果你耐心看完我最近写的一系列文章，相信必然会所收获。

前面几篇文章都使用 Linxu 发行版的包安装方式介绍 Curl、OpenSSL、NSS，包安装方式的好处就在于安装方便，但也屏蔽了很多技术细节，一旦在使用中遇到问题，可能就不知道如何解决了。

这篇文章很简单，就是源代码安装 Curl，让其支持 NSS 密码学库，从而进一步加深对 NSS 的理解。

为了让 Curl 编译支持 NSS，有以下几个关键点：

• 下载、配置、编译、安装 Curl。
• Curl 的 HTTPS 功能支持依赖于 NSS，所以也需要源代码安装 NSS。

如果你不知道如何编译安装 NSS，那么必须查看这篇文章《初识NSS，一文了解全貌》，现在假设编译后的 NSS 保存在 /root/nssproject/ 目录下。

接下去跟随我一步步编译把。

1：下载 Curl 源代码。

下载 curl-7.61.0.tar.gz：

$ wget "https://curl.haxx.se/download/curl-7.57.0.tar.gz"
$ tar xvf curl-7.57.0.tar.gz
$ cd curl-7.57.0
$ ./configure -h 

2：配置

运行下列命令：

$ export LD_LIBRARY_PATH='/root/nssproject/dist/Linux3.13_x86_64_cc_glibc_PTH_64_OPT.OBJ/lib'

$ ./configure --prefix=/opt/curlnss --with-nss=/root/nssproject/dist/Linux3.13_x86_64_cc_glibc_PTH_64_OPT.OBJ/  --without-ssl 

其中 --without-ssl 表示禁止安装 OpenSSL；--prefix 表示将 Curl 安装到特定的目录；--with-nss 表示 NSS 安装目录。

切记：

• LD_LIBRARY_PATH 变量一定要设置，否则编译的时候不会找到 NSS。
• 命令行最后一行输出如果出现 HTTPS IMAP IMAPS，说明配置成功了。

3：编译

然后运行下列命令编译：

$ make 

出现以下错误：

curl_ntlm_core.c:101:23: fatal error: pk11pub.h: No such file or directory
 #  include <pk11pub.h>
                       ^
compilation terminated.

提示不能找到一个头文件，可以打开 lib/Makefile 文件，然后找到 CPPFLAGS 变量，如下：

CPPFLAGS = -I/root/nssproject/dist/Linux3.13_x86_64_cc_glibc_PTH_64_OPT.OBJ//include -I/usr/local/include 

将其修改为：

CPPFLAGS = -I/root/nssproject/dist/Linux3.13_x86_64_cc_glibc_PTH_64_OPT.OBJ//include -I/usr/local/include -I/root/nssproject/dist/public/nss

4：安装

编译成功后，运行如下命令安装：

$ make install

5：测试

安装完成后，测试是否成功：

$ /opt/curlnss/bin/curl -V

curl 7.57.0 (x86_64-pc-linux-gnu) libcurl/7.57.0 NSS/3.38 Beta zlib/1.2.8 nghttp2/1.31.0-DEV
Release-Date: 2017-11-29
Protocols: dict file ftp ftps gopher http https imap imaps pop3 pop3s rtsp smb smbs smtp smtps telnet tftp 
Features: AsynchDNS IPv6 Largefile NTLM NTLM_WB SSL libz HTTP2 UnixSockets HTTPS-proxy

需要注意的是 curl 使用的根证书，运行 curl-config 工具（源代码编译生成的）：

$ opt/curlnss/bin/curl-config --ca
    /etc/ssl/certs/ca-certificates.crt

那么 ca-certificates.crt 这个文件是谁生成的？源代码编译并不包含这文件，如果你看了我的系列文章，那么就很容易理解了，可以使用 ca-certificates 包安装 CA 根证书，也可以手动下载 Mozilla 的 CA 根证书。

相关系列文章：

• 初识NSS，一文了解全貌
• apt，curl，openssl之间的那点事
• yum，curl，nss之间的那点事
• 一文解剖ubuntu，curl，openssl更新根证书的细节
• 一文解剖centos，curl，nss更新根证书的细节

关注我的公众号（yudadanwx，虞大胆的叽叽喳喳），了解我最新的博文。