SSL_connect được trả lại = 1 errno = 0 state = SSLv3 đọc chứng chỉ máy chủ B: xác minh chứng chỉ không thành công

Tôi đang sử dụng Authlogic-Connect để đăng nhập của bên thứ ba. Sau khi chạy di chuyển thích hợp, đăng nhập Twitter / Google / yahoo có vẻ hoạt động tốt nhưng đăng nhập facebook ném ngoại lệ:

SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed

Nhật ký dev hiển thị

OpenSSL::SSL::SSLError (SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed):
  app/controllers/users_controller.rb:37:in `update'

Xin đề nghị ..

Tôi gặp phải một vấn đề tương tự khi cố gắng sử dụng trình tạo JQuery cho Rails 3

Tôi đã giải quyết nó như thế này:

1. Nhận gói Cơ quan cấp chứng chỉ CURL (CA). Bạn có thể làm điều này với:

   • sudo port install curl-ca-bundle [nếu bạn đang sử dụng MacPorts]
   • hoặc chỉ cần kéo nó xuống trực tiếp wget http://curl.haxx.se/ca/cacert.pem

2. Thực thi mã ruby ​​đang cố xác minh chứng nhận SSL : SSL_CERT_FILE=/opt/local/etc/certs/cacert.pem rails generate jquery:install. Trong trường hợp của bạn, bạn muốn đặt biến này làm biến môi trường ở đâu đó, máy chủ sẽ chọn nó hoặc thêm một cái gì đó giống như ENV['SSL_CERT_FILE'] = /path/to/your/new/cacert.pemtrong tệp môi trường của bạn.

Bạn cũng có thể chỉ cần cài đặt các tệp CA (tôi chưa thử cái này) cho HĐH - có các hướng dẫn dài ở đây - cách này hoạt động theo cách tương tự, nhưng tôi chưa thử cá nhân.

Về cơ bản, vấn đề bạn gặp phải là một số dịch vụ web đang phản hồi với chứng chỉ được ký chống lại CA mà OpenSSL không thể xác minh.

Nếu bạn đang sử dụng RVM trên OS X, có lẽ bạn cần chạy nó:

rvm osx-ssl-certs update all

Thêm thông tin tại đây: http://rvm.io/support/fixing-broken-ssl-certert

Và đây là lời giải thích đầy đủ: https://github.com/wayneeseguin/rvm/blob/master/help/osx-ssl-certs.md

Cập nhật

Trên Ruby 2.2, bạn có thể phải cài đặt lại Ruby từ nguồn để sửa lỗi này. Đây là cách (thay thế 2.2.3bằng phiên bản Ruby của bạn):

rvm reinstall 2.2.3 --disable-binary

Tín dụng vào https://stackoverflow.com/a/32363597/4353 và Ian Connor .

Đây là cách bạn có thể sửa nó trên Windows: https://gist.github.com/867550 (được tạo bởi Fletcher Nichol)

Trích đoạn:

Cách thủ công (nhàm chán)

Tải xuống cacert.pemtệp từ http://curl.haxx.se/ca/cacert.pem . Lưu tập tin này vào C:\RailsInstaller\cacert.pem.

Bây giờ làm cho ruby ​​nhận thức được gói ủy quyền chứng chỉ của bạn bằng cách cài đặt SSL_CERT_FILE. Để đặt điều này trong phiên nhắc lệnh hiện tại của bạn, gõ:

set SSL_CERT_FILE=C:\RailsInstaller\cacert.pem

Để biến điều này thành cài đặt cố định, hãy thêm phần này vào bảng điều khiển của bạn .

Ruby không thể tìm thấy bất kỳ chứng chỉ gốc nào để tin tưởng.

Hãy xem bài đăng trên blog này để biết giải pháp: " Ruby 1.9 và lỗi SSL ".

Giải pháp là cài đặt curl-ca-bundlecổng chứa cùng chứng chỉ gốc được Firefox sử dụng:

sudo port install curl-ca-bundle

và nói với httpsđối tượng của bạn sử dụng nó:

https.ca_file = '/opt/local/share/curl/curl-ca-bundle.crt'

Lưu ý rằng nếu bạn muốn mã của mình chạy trên Ubuntu, bạn cần đặt ca_paththuộc tính thay thế, với vị trí chứng chỉ mặc định /etc/ssl/certs.

Lý do mà bạn gặp lỗi này trên OSX là ruby ​​được cài đặt rvm.

Nếu bạn gặp phải vấn đề này trên OSX, bạn có thể tìm thấy một lời giải thích thực sự rộng rãi về vấn đề này trong bài đăng trên blog này:

http://toadle.me/2015/04/16/fixing-failing-ssl-verification-with-rvm.html

Phiên bản ngắn là, đối với một số phiên bản của Ruby, RVM tải xuống các tệp nhị phân được biên dịch sẵn, tìm kiếm các chứng chỉ ở vị trí sai. Bằng cách buộc RVM tải xuống nguồn và biên dịch trên máy của riêng bạn, bạn đảm bảo rằng cấu hình cho vị trí chứng chỉ là chính xác.

Lệnh để làm điều này là:

rvm install 2.2.0 --disable-binary

nếu bạn đã có phiên bản được đề cập, bạn có thể cài đặt lại với:

rvm reinstall 2.2.0 --disable-binary

(rõ ràng, thay thế phiên bản ruby ​​của bạn khi cần thiết).

Vấn đề là ruby ​​không thể tìm thấy chứng chỉ gốc để tin tưởng. Khi 1.9 ruby ​​kiểm tra điều này. Bạn sẽ cần đảm bảo rằng bạn có chứng chỉ curl trên hệ thống của mình dưới dạng tệp pem. Bạn cũng sẽ cần đảm bảo rằng chứng chỉ nằm ở vị trí mà ruby ​​mong đợi. Bạn có thể lấy chứng chỉ này tại ...

http://curl.haxx.se/ca/cacert.pem

Nếu người dùng RVM và OSX của bạn thì vị trí tệp chứng chỉ của bạn sẽ thay đổi dựa trên phiên bản ruby ​​bạn sử dụng. Đặt đường dẫn rõ ràng bằng: ca_path là một ý tưởng BAD vì mã của bạn sẽ không thể di động khi được đưa vào sản xuất. Ở đó cho bạn muốn cung cấp cho ruby ​​một chứng chỉ ở vị trí mặc định (và giả sử các nhà phát triển của bạn biết họ đang làm gì). Bạn có thể sử dụng dtruss để tìm ra nơi hệ thống đang tìm kiếm tệp chứng chỉ.

Trong trường hợp của tôi, hệ thống đang tìm kiếm tệp cert

/Users/stewart.matheson/.rvm/usr/ssl/cert.pem

tuy nhiên hệ thống MACOSX sẽ mong đợi một chứng chỉ trong

/System/Library/OpenSSL/cert.pem

Tôi đã sao chép chứng chỉ đã tải xuống vào đường dẫn này và nó đã hoạt động. HTH

Đá quý được chứng nhận mới được thiết kế để khắc phục điều này:

https://github.com/stevegraham/certified

Chỉ cần thêm đá quý 'được chứng nhận' vào gemfile của bạn và chạy cài đặt gói.

1. đá quý ' được chứng nhận '
2. cài đặt gói

Trên Mac OS X Lion với macport mới nhất:

sudo port install curl-ca-bundle  
export SSL_CERT_FILE=/opt/local/share/curl/curl-ca-bundle.crt  

Sau đó, chạy lại công việc thất bại.

Lưu ý, vị trí tệp cert dường như đã thay đổi kể từ khi Eric G trả lời vào ngày 12 tháng 5.

Một lớp lót sửa nó cho Windows trong lời nhắc của Quản trị viên

choco install wget(lần đầu tiên xem chocolatey.org )

wget http://curl.haxx.se/ca/cacert.pem -O C:\cacert.pem && setx /M SSL_CERT_FILE "C:\cacert.pem"

Hoặc chỉ cần làm điều này:

gem sources -r https://rubygems.org/
gem sources -a http://rubygems.org/

Phương pháp của Milanio:

gem sources -r https://rubygems.org
gem sources -a http://rubygems.org 
gem update --system
gem sources -r http://rubygems.org
gem sources -a https://rubygems.org

gem install [NAME_OF_GEM]

Vâng, điều này làm việc cho tôi

rvm pkg install openssl
rvm reinstall 1.9.2 --with-openssl-dir=$rvm_path/usr

Có gì đó không đúng với việc triển khai openssl trên Ubuntu 12.04 của tôi

Mặc dù biết đó là một giải pháp khập khiễng, tôi vẫn chia sẻ điều này bởi vì dường như rất ít người trả lời ở đây sử dụng Windows và tôi nghĩ rằng một số người dùng Windows (bao gồm cả tôi) sẽ đánh giá cao cách tiếp cận đơn giản và trực quan.

require 'openssl'
puts OpenSSL::X509::DEFAULT_CERT_FILE

Điều đó cho biết nơi openssl của bạn đang tìm kiếm tệp cert. Tên tôi không phải là Luis, mà là của tôi C:/Users/Luis/Code/luislavena/knap-build/var/knapsack/software/x86-windows/openssl/1.0.0l/ssl/cert.pem. Đường dẫn có thể khác nhau tùy thuộc vào từng môi trường riêng (ví dụ openknapsackthay vì luislavena).

Đường dẫn không thay đổi ngay cả sau khi set SSL_CERT_FILE=C:\foo\bar\baz\cert.pemthông qua bảng điều khiển, vì vậy ... Tôi đã tạo thư mục C:\Users\Luis\Code\luislavena\knap-build\var\knapsack\software\x86-windows\openssl\1.0.0l\ssl trong đĩa cục bộ của mình và đặt tệp cert vào đó.

Lame như nó là, điều này chắc chắn sẽ làm việc.

Tôi đã thử cài đặt curl-ca-bundlevới brew, nhưng gói không có sẵn nữa:

$ brew install curl-ca-bundle
Error: No available formula for curl-ca-bundle 
Searching formulae...
Searching taps...

Giải pháp hiệu quả với tôi trên Mac là:

 $ cd /usr/local/etc/openssl/certs/
 $ sudo curl -O http://curl.haxx.se/ca/cacert.pem

Thêm dòng này trong ~/.bash_profile(hoặc ~/.zshrccho zsh) của bạn:

export SSL_CERT_FILE=/usr/local/etc/openssl/certs/cacert.pem

Sau đó cập nhật thiết bị đầu cuối của bạn:

$ source ~/.bash_profile

Đây là một tùy chọn khác cho mục đích gỡ lỗi.

Hãy chắc chắn không bao giờ sử dụng điều này trong bất kỳ môi trường sản xuất nào, vì nó sẽ phủ nhận lợi ích của việc sử dụng SSL ở nơi đầu tiên. Nó chỉ là hợp lệ để làm điều này trong môi trường phát triển địa phương của bạn.

require 'openssl'
OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE

Tôi đã có vấn đề tương tự trong khi làm việc trên một dự án Ruby. Tôi đang sử dụng Windows 7 64 bit.

Tôi đã giải quyết điều này bằng cách:

1. Tải xuống tệp cacert.pem từ http://curl.haxx.se/ca/cacert.pem .
2. Đã lưu tệp đó vào C: /RubyCertert/cacert.pem
3. Sau đó, đặt biến môi trường của tôi "SSL_CERT_FILE" thành "C: \ RubyCertert \ cacert.pem"

nguồn: https://gist.github.com/fnichol/867550

Câu trả lời thẳng thắn nhất có hiệu quả với tôi là đây

sudo apt-get install openssl ca-certificates

Và Voila!!!

OS X 10.8.x với Homebrew:

brew install curl-ca-bundle
brew list curl-ca-bundle
cp /usr/local/Cellar/curl-ca-bundle/1.87/share/ca-bundle.crt /usr/local/etc/openssl/cert.pem

Sau đó, như bài viết trên blog này cho thấy,

" Cách chữa Net :: Hành vi HTTPS mặc định rủi ro của HTTP "

bạn có thể muốn cài đặt always_verify_ssl_certificatesđá quý cho phép bạn đặt giá trị mặc định cho ca_file.

Điều này làm việc cho tôi. Nếu bạn sử dụng rvm và brew:

rvm remove 1.9.3
brew install openssl
rvm install 1.9.3 --with-openssl-dir=`brew --prefix openssl`

Tôi gặp phải vấn đề này và bản sửa lỗi được đề xuất rvm osx-ssl-certs update allkhông hoạt động mặc dù tôi là người dùng RVM trên OSX.

Bản sửa lỗi hoạt động với tôi là cài đặt lại phiên bản openssl mới nhất:

brew update
brew remove openssl
brew install openssl

Tôi đã khắc phục vấn đề này bằng cách chạy này trong thiết bị đầu cuối. Viết đầy đủ có sẵn ở đây

rvm install 2.2.0 --disable-binary

Giải pháp OSX:

cài đặt phiên bản ổn định rvm mới nhất

rvm get stable

sử dụng lệnh rvm để giải quyết các chứng chỉ tự động

rvm osx-ssl-certs update all

Nếu bạn đang chạy ứng dụng rails của mình cục bộ thì chỉ cần thêm dòng này ở dưới cùng của application.rb.

OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE

Sau này, bạn có thể sử dụng ứng dụng mà không gặp vấn đề gì. Bạn có thể gọi nó là hack nhưng nó không được khuyến khích. Chỉ sử dụng khi bạn cần chạy cục bộ

Đây là những gì tôi đã làm nếu bạn đặc biệt gặp sự cố trên Leopard.

Chứng chỉ của tôi đã cũ và cần được cập nhật. Tôi đã tải xuống này:

http://curl.haxx.se/ca/cacert.pem

Sau đó thay thế chứng chỉ của tôi được tìm thấy ở đây trên Leopard:

/usr/share/curl/curl-ca-bundle.crt

Tải lại bất cứ thứ gì bạn có đang truy cập nó và bạn nên đi!

Chỉ vì các hướng dẫn hơi khác một chút so với những gì hiệu quả với tôi, tôi nghĩ tôi đã thêm 2 xu của mình:

Tôi đang dùng OS X Lion và đang sử dụng macports và rvm

Tôi đã cài đặt curl-ca-bundle:

sudo port install curl-ca-bundle

Sau đó, tôi đã điều chỉnh cấu hình omniauth của mình thành:

Rails.application.config.middleware.use OmniAuth::Builder do
  provider :google_oauth2, APP_CONFIG['CONSUMER_KEY'], APP_CONFIG['CONSUMER_SECRET'],
           :scope => 'https://www.google.com/m8/feeds https://www.googleapis.com/auth/userinfo.profile',
           :ssl => {:ca_path => "/share/curl/curl-ca-bundle.crt"}
end

Nếu bạn có một liên kết tượng trưng trong / usr / local / etc / openssl trỏ đến cert.pem hãy thử làm điều này:

ruby -ropenssl -e "p OpenSSL::X509::DEFAULT_CERT_FILE" (should be /usr/local/etc/openssl)
cd /usr/local/etc/openssl
wget http://curl.haxx.se/ca/cacert.pem
ln -s cacert.pem 77ee3751.0 (77ee3751.0 is my symbolic link, should depend on the openssl version)

Điều làm việc cho tôi là sự kết hợp của các câu trả lời, cụ thể là:

# Reinstall OpenSSL
brew update
brew remove openssl
brew install openssl
# Download CURL CA bundle
cd /usr/local/etc/openssl/certs
wget http://curl.haxx.se/ca/cacert.pem
/usr/local/opt/openssl/bin/c_rehash
# Reinstall Ruby from source
rvm reinstall 2.2.3 --disable-binary

Tôi đã gặp rắc rối trong một số ngày và bị hack xung quanh. Liên kết này đã được chứng minh là cực kỳ hữu ích cho tôi. Nó giúp tôi nâng cấp thành công SSL trên MAC OS X 9.

Đôi khi không phải lúc nào cũng là vấn đề của rvm trong MAC OSX, nếu bạn xóa .rvm, vấn đề vẫn còn (nhất là trong khi bạn sao lưu dữ liệu từ timemachine), bạn có thể thử theo cách này.

1.brew update
2.brew install openssl

Thêm gem 'certified', '~> 1.0'vào tôi Gemfilevà chạy bundlegiải quyết vấn đề này cho tôi.