Cách khắc phục curl: (60) Chứng chỉ SSL: Chuỗi chứng chỉ không hợp lệ khi sử dụng sudo

Vì vậy, bản nâng cấp Mavericks có nhiều vấn đề hơn với chứng chỉ.

Khi cố gắng cuộn một tệp từ máy chủ web của tôi bằng chứng chỉ tự ký, nó đã gặp lỗi "Chứng chỉ SSL: Chuỗi chứng chỉ không hợp lệ".

Điều này đã được sửa bằng cách thêm chứng chỉ vào móc khóa hệ thống của tôi và đặt nó để luôn cho phép SSL, thông tin tôi tìm thấy ở đây và đây .

Điều này hoạt động tốt và khi tôi cuộn một tập tin, nó tải xuống đúng cách.

Tuy nhiên, nếu tôi chạy curl với sudo trước đó (ví dụ: tôi có một đoạn script cần được chạy với sudo và thực hiện một curl trong đó) thì tôi sẽ quay lại cùng một thông báo lỗi.

Tôi đoán rằng root không đọc được từ móc khóa hệ thống?

Có ai biết một cách để khắc phục điều này?

Nếu bạn lưu trữ chứng chỉ CA của mình trên hệ thống tệp (ở định dạng PEM), bạn có thể yêu cầu curl sử dụng chúng với

sudo curl --cacert /path/to/cacert.pem ...

Bạn cũng có thể tắt xác minh chứng chỉ với

sudo curl --insecure ...

Chỉnh sửa: Cập nhật liên quan đến thông tin phản hồi

Nếu bạn muốn đặt cái này vĩnh viễn, bạn nên tạo một .curlrctệp và đặt vào thư mục chính của bạn. sudocác lệnh có thể cần tệp này trong /var/rootTệp có các tùy chọn giống như dòng lệnh nhưng không có dấu gạch ngang. Một tùy chọn cho mỗi dòng:

cacert=/path/to/my/certs.pem

Root không đọc từ cài đặt tin cậy người dùng hiện tại, nhưng có cả cài đặt tin cậy quản trị viên và cài đặt tin cậy dành riêng cho người dùng gốc. (Chúng cũng khác với cài đặt tin cậy hệ thống .) Cũng lưu ý rằng cài đặt tin cậy chứng chỉ hơi khác so với việc chỉ thêm chứng chỉ vào móc khóa; bạn có thể đánh dấu một chứng chỉ là đáng tin cậy mà không cần thêm nó. (Tình hình chính xác ở đây không rõ ràng đối với tôi và các tài liệu tôi đã thấy rất mơ hồ.)

Bạn có thể đánh dấu một chứng chỉ là đáng tin cậy cho người dùng hiện tại của bạn là

$ security add-trusted-cert /path/to/cert.pem

nhưng điều đó không giúp ích gì với root. Giải pháp, như bạn có thể đoán bây giờ, là sudoở trên, sau đó đánh dấu nó là đáng tin cậy cho người dùng root cụ thể:

$ sudo security add-trusted-cert /path/to/cert.pem

hoặc để sử dụng -dcờ để thêm nó vào cài đặt tin cậy của quản trị viên:

$ security add-trusted-cert -d /path/to/cert.pem

(OS X sẽ bật lên hộp thoại mật khẩu để xác nhận cái này.)

Một trong hai cái sau dường như là đủ cho sudo curl.

Tham khảo: https://developer.apple.com/l Library / mac / Documentation / Darwin / Reference / Manager / man1 / security.1.html

Điều này thực sự nằm trong gợi ý đầu ra:

echo insecure >> ~/.curlrc

Ưu điểm của việc sử dụng giải pháp trên là nó hoạt động cho tất cả curlcác lệnh, nhưng không được khuyến khích vì nó có thể giới thiệu các cuộc tấn công MITM bằng cách kết nối với các máy chủ không an toàn và không tin cậy.

Nếu bạn sử dụng MacPorts (và tập lệnh của bên thứ 3 mà bạn đề cập không xóa nó khỏi $PATHhoặc cuộc gọi /usr/bin/curl), bạn có thể cài đặt certsyncvà curlcác cổng theo thứ tự này.

certsynclà một công cụ và một trình khởi chạy tương ứng sẽ xuất móc khóa hệ thống của bạn sang $prefix/etc/openssl/cert.pemvà cài đặt một liên kết tượng trưng $prefix/share/curl/curl-ca-bundle.crt -> $prefix/etc/openssl/cert.pemđể MacPorts curl sẽ tự động lấy chứng chỉ. certsynccũng sẽ tự động cập nhật các tệp được tạo khi bạn thay đổi móc khóa hệ thống.

Các tài liệu bạn đang tìm kiếm ở đây. Nó giải thích cách sử dụng cURL trên Mavericks và cách cung cấp chứng chỉ của bạn: http://curl.haxx.se/mail/archive-2013-10/0036.html

Để thực hiện sudo curlcông việc (trên OSX Sierra), chúng tôi đã phải nhập chứng chỉ vào System.keychainvà tin tưởng vào đó. Điều này có thể được thực hiện thủ công trong ứng dụng Keychain hoặc sử dụng lệnh này:

sudo security add-trusted-cert -d -k /Library/Keychains/System.keychain /path/to/cert.pem

Điều quan trọng là cả hai chỉ định -dvà đặt thủ công đường dẫn đến móc khóa Hệ thống thông qua -kđể đảm bảo chứng chỉ thực sự được nhập ở đó nếu chưa.

Lệnh hoạt động mà không có sudo, nhưng sau đó sẽ yêu cầu mật khẩu thông qua hộp thoại UI, đây có thể là một trở ngại cho các tập lệnh.