Certyfikat SSL odrzucony przy próbie uzyskania dostępu do GitHub przez HTTPS za zaporą

Problem polega na tym, że nie masz żadnych certyfikatów urzędu certyfikacji zainstalowanych w Twoim systemie. I te certy nie mogą być zainstalowane w konfiguracji cygwin.exe.

Update: Install NET/ca-certificates package in cygwin (thanks dirkjot)

Istnieją dwa rozwiązania:

1. Faktycznie instaluje certyfikaty główne. Curl guys wyodrębnione dla Ciebie certyfikaty z Mozilli .

   cacert.pem Plik jest tym, czego szukasz. Ten plik zawiera > 250 certyfikatów CA (Nie wiem, jak zaufać tej liczbie ppl). Musisz pobrać ten plik, podzielić go na poszczególne certyfikaty umieścić je w /usr / ssl / certs (Twój CApath) i zindeksować.

   Oto Jak to zrobić. Z cygwinem.exe instaluje Pakiety curl i openssl wykonanie:

   $ cd /usr/ssl/certs
   $ curl http://curl.haxx.se/ca/cacert.pem |
     awk '{print > "cert" (1+n) ".pem"} /-----END CERTIFICATE-----/ {n++}'
   $ c_rehash
   

   Ważne: aby używać c_rehash, musisz również zainstalować openssl-perl.

2. Ignoruj weryfikację certyfikatu SSL.

   Ostrzeżenie: wyłączenie SSL weryfikacja certyfikatu ma wpływ na bezpieczeństwo. bez weryfikacji autentyczności połączeń SSL / HTTPS, złośliwy atakujący może podszywać się pod zaufany punkt końcowy (taki jak GitHub lub inny zdalny host Git), a Ty będziesz podatny na atak typu Man-in-the-Middle ([36]). upewnij się, że w pełni rozumiesz problemy bezpieczeństwa i swój model zagrożeń, zanim użyjesz tego jako rozwiązania.

   $ env GIT_SSL_NO_VERIFY=true git clone https://github...
   

Uwaga: wyłączenie weryfikacji SSL ma wpływ na bezpieczeństwo . Pozwala na ataki Man In The Middle, gdy używasz Git do przesyłania danych przez sieć. Przed użyciem tego rozwiązania upewnij się, że w pełni rozumiesz konsekwencje związane z bezpieczeństwem. Albo jeszcze lepiej, zainstaluj certyfikaty główne.

Jednym ze sposobów jest wyłączenie weryfikacji certyfikatu SSL:

git config --global http.sslVerify false

Zapobiegnie to zwijaniu się certyfikatu HTTPS.

Tylko dla jednego repozytorium:

git config http.sslVerify false

Chciałem, aby Git używał zaktualizowanego pakietu certyfikatów bez zastępowania tego, którego używa cały system. Oto jak sprawić, by Git używał określonego pliku w moim katalogu domowym:

mkdir ~/certs
curl http://curl.haxx.se/ca/cacert.pem -o ~/certs/cacert.pem

Teraz zaktualizuj .gitconfig, aby użyć tego do weryfikacji rówieśniczej:

[http]
sslCAinfo = /home/radium/certs/cacert.pem

Uwaga używam ścieżki absolutnej. Git nie rozszerza ścieżki, więc nie możesz używać ~ bez brzydkiego kludge ' a. Alternatywnie, możesz pominąć plik konfiguracyjny i ustawić ścieżkę za pomocą zmiennej środowiskowej GIT_SSL_CAINFO.

To Rozwiąż ten problem, ustaw GIT_CURL_VERBOSE=1. Ścieżka do pliku CA używanego przez Git będzie wyświetlana w liniach zaczynających się od "CAfile:" w wyjściu.

Zauważ, że aby to działało (instalacja RVM na CentOS 5.6), musiałem uruchomić:

export GIT_SSL_NO_VERIFY=true

A potem standardowa procedura instalacyjna do wklejania instalatora RVM do Basha zadziałała:)

Bardzo proste rozwiązanie: Zamień https: / / na git://

Użyj git: / / the.repozytorium zamiast https://the.repozytorium i będzie działać.

Miałem ten problem na Windows z TortoiseGit i to go rozwiązało.

Jak najbardziej popularna odpowiedź (Alexey Vishentsev) ma to:

Problem polega na tym, że nie masz żadnego urzędu certyfikacji certyfikaty zainstalowane w Twoim systemie. A te certy nie mogą być zainstalowane w konfiguracji Cygwina.exe.

Jednak to ostatnie twierdzenie jest fałszywe(teraz, lub zawsze było, Nie wiem).

Wystarczy przejść do konfiguracji cygwin i dołączyć pakiet 'CA-certificates' (jest pod Net). To mi pomogło.

Wiem, że oryginalne pytanie wymienia Cygwin, ale tutaj jest rozwiązanie dla Centosa:

curl http://curl.haxx.se/ca/cacert.pem -o /etc/pki/tls/certs/ca-bundle.crt

Źródło: http://eric.lubow.org/2011/security/fixing-centos-root-certificate-authority-issues/

Na CentOS 5.x, prosty yum update openssl zaktualizował pakiet openssl, który zaktualizował plik systemowy ca-bundle.crt i naprawił problem dla mnie.

Aby sklonować w systemie windows podczas ustawiania SSL verify na false:

    git -c http.sslVerify=false clone http://example.com/e.git

Jeśli chcesz sklonować Bez borfingu ustawień globalnych.

Jeśli chcesz tylko użyć klienta Cygwin git z github.com, istnieje znacznie prostszy sposób bez konieczności przechodzenia przez kłopoty z pobieraniem, wyodrębnianiem, konwertowaniem, dzieleniem plików cert. Postępuj w następujący sposób (zakładam Windows XP z Cygwin i Firefox)

1. w Firefoksie przejdź do strony github (Dowolna)
2. Kliknij ikonę github na pasku adresu, aby wyświetlić certyfikat
3. Kliknij "więcej informacji" - >" Wyświetl certyfikat" -- > "szczegóły" i wybierz każdy węzeł w hierarchii zaczynający się od najwyższego; dla każdego z nich kliknij "Eksportuj" i wybierz format PEM:
   • GTECyberTrustGlobalRoot.pem
   • DigiCertHighAssuranceEVRootCA.pem
   • DigiCertHighAssuranceEVCA-1.pem
   • github. com. pem
4. Zapisz powyższe pliki gdzieś na dysku lokalnym, zmień rozszerzenie na .pem i przenieś je do /usr / ssl / certs w instalacji Cygwin( Windows: c:\cygwin\ssl\certs )
5. (opcjonalne) Uruchom c_reshash z bash.

To jest to.

Oczywiście to instaluje tylko jedną hierarchię cert, tę, której potrzebujesz na github. Możesz oczywiście użyć tej metody z dowolną inną witryną bez konieczności instalowania 200 certyfikatów witryn, którym (koniecznie) nie ufasz.

Jeśli korzystasz z systemu Mac OS X, możesz zainstalować ca-cert-bundle poprzez homebrew:

$ brew install curl-ca-bundle
$ git config --system http.sslcainfo /usr/local/share/ca-bundle.crt

Formuła instaluje pakiet cert do twojego udziału poprzez:

share.install 'ca-bundle.crt'

Metoda share jest tylko aliasem /usr/local/share, a curl-ca-bundle jest dostarczany przez Mozilla. To jest to, co widzisz w wielu kwestiach. Mam nadzieję, że to pomoże, ponieważ nie jest bardzo proste, jak podejść do tego na Mac OS X. brew install curl nie będzie Ci zbyt wiele, ponieważ jest to tylko keg i nie będzie połączone (uruchomienie which curl zawsze wyświetli /usr/bin/curl, co jest domyślne, że jest wysyłane z Twoim systemem operacyjnym). ten post może też mieć jakąś wartość .

Musisz oczywiście wyłączyć SSL przed instalacją homebrew, ponieważ jest to repo git. Po prostu zrób to, co mówi curl, gdy błąd podczas weryfikacji SSL i: {]}

$ echo insecure >> ~/.curlrc

Po zainstalowaniu homebrew wraz z curl-ca-bundle, Usuń .curlrc i spróbuj sklonować repo na GitHubie. Upewnić się, że nie ma błędów i możesz iść.

Uwaga: jeśli nie uciekniesz się do .curlrc, usuń go ze swojego systemu, gdy skończysz testować. Ten plik może powodować poważne problemy, więc używaj go do celów tymczasowych i ostrożnie. brew doctor będzie narzekać w przypadku, gdy zapomnisz usunąć go z systemu).

Notatka: jeśli zaktualizujesz swoją wersję git, będziesz musiał ponownie uruchomić tę komendę, ponieważ Ustawienia systemowe zostaną wymazane (są przechowywane w stosunku do binarnej wersji git w wersji).

Więc po uruchomieniu:

$ brew update
$ brew upgrade

Jeśli otrzymasz nową wersję git, po prostu uruchom ponownie:

$ git config --system http.sslcainfo /usr/local/share/ca-bundle.crt

Na koniec, jeśli masz nową wersję git, Uruchom:

$ git config -l --system

Powinno dać ci błąd wzdłuż linii

fatal: unable to read config file '/usr/local/Cellar/git/1.8.2.2/etc/gitconfig'

To Twoja wskazówka, że musisz powiedzieć gitowi, gdzie jest Mozilla ca-bundle.

UPDATE:

.curlrc może, ale nie musi być lekarstwem na twój problem. W każdym case, po prostu zainstaluj Mozilla ca-bundle na swoim komputerze, niezależnie od tego, czy musisz go ręcznie pobrać, czy nie. To jest tutaj ważne. Kiedy zdobędziesz pakiet ca, możesz iść. Po prostu uruchom polecenie Git config i wskaż git do ca-bundle.

UPDATE

Ostatnio musiałem dodać:

export CURL_CA_BUNDLE=/usr/local/share/ca-bundle.crt do mojego .zshenv pliku dot, ponieważ używam zsh. opcja git config działała w większości przypadków, ale gdy nacisnąłem github przez SSL (na przykładrvm get stable), nadal uruchomiłem do spraw certyfikatów. @Maverick zwrócił na to uwagę w swoim komentarzu, ale na wszelki wypadek, gdyby ktoś go przegapił lub założył, że niekoniecznie musi eksportować tę zmienną środowiskową oprócz uruchomienia polecenia git config --system..... Dzięki i mam nadzieję, że to pomoże.

UPDATE

Wygląda na to, że curl-ca-bundle został niedawno usunięty z homebrew . Tutaj jest zalecenie .

Będziesz chciał upuścić kilka plików do:

$(brew --prefix)/etc/openssl/certs

Naprawiłem ten problem używając apt-cyg (świetny instalator podobny do apt-get) do łatwo pobrać ca-certificates (w tym Git i wiele innych):

apt-cyg install ca-certificates

Uwaga : apt-cyg powinien być najpierw zainstalowany. Możesz to zrobić z systemu Windows wiersz poleceń:

cd c:\cygwin
setup.exe -q -P wget,tar,qawk,bzip2,subversion,vim

Zamknij Windows cmd i otwórz Cygwin Bash:

wget rawgit.com/transcode-open/apt-cyg/master/apt-cyg
install apt-cyg /bin

Na rasbery pi miałem

Pi@raspbmc: ~ $ git clone http: //github.com/andreafabrizi/Dropbox-Uploader .git Klonowanie do "Dropbox-Uploader"... błąd: Problem z certyfikatem SSL CA (path? prawa dostępu?) podczas uzyskiwania dostępu do http:// github.com/andreafabrizi/Dropbox-Uploader.git/info/refs fatal: żądanie HTTP nie powiodło się

Więc id a

sudo apt-get install ca-certificates

Then

git clone http://github.com/andreafabrizi/Dropbox-Uploader.git  

Obrobione

Jeśli używałeś systemu operacyjnego opartego na Debianie, możesz po prostu uruchomić

Apt-get install ca-certificates

Mam ten sam problem Dla Solaris Express 11. Zajęło mi to trochę czasu, ale udało mi się znaleźć, gdzie certyfikaty trzeba umieścić. Zgodnie z /etc / openssl / openssl.cnf, ścieżka dla certyfikatów to / etc / openssl / certs. Umieściłem certyfikaty wygenerowane za pomocą powyższej porady od Alexey.

Możesz sprawdzić, czy wszystko działa za pomocą openssl w wierszu poleceń:

openssl s_client -connect github.com:443

Spróbuj użyć .plik netrc, zostanie uwierzytelniony przez https. Utwórz wywołanie pliku .netrc w katalogu domowym i umieść w nim to:

machine github.com login myusername password mypass

Zobacz ten post, aby uzyskać więcej informacji:

Https://plus.google.com/u/0/104462765626035447305/posts/WbwD4zcm2fj

Ulepsz rozwiązanie RouMao, tymczasowo wyłączając weryfikację ssl Git / curl w Windows cmd:

set GIT_SSL_NO_VERIFY=true
git config --global http.proxy http://<your-proxy>:443

Dobrą rzeczą w tym rozwiązaniu jest to, że działa tylko w bieżącym oknie cmd.

Sprawdziłeś swój czas?

Absolutnie nie chciałem, aby moje operacje git były niebezpieczne i po wypróbowaniu wszystkiego, co ludzie tutaj wspominali, uderzyło mnie, że jedną z możliwych przyczyn, dla których certyfikaty nie przechodzą weryfikacji, jest to, że daty są błędne(albo data wygaśnięcia certyfikatu, albo lokalny zegar ).

Możesz to łatwo sprawdzić wpisując date w terminalu. W moim przypadku (Nowy raspberry Pi), lokalny zegar został ustawiony na 1970, więc prosty ntpdate -u 0.ubuntu.pool.ntp.org Naprawiono wszystko. W przypadku RPI polecam również umieszczenie następującego skryptu w codziennej pracy cron (powiedzmy /etc/cron.daily/ntpdate):

#!/bin/sh
/usr/sbin/ntpdate -u 0.ubuntu.pool.ntp.org 1> /dev/null 2>&1

Napotkałem ten sam problem, Aby skonfigurować Git na wspólnej platformie programistycznej, którą muszę zarządzać.

Do rozwiązania:

• Zaktualizowałem wersję Curl zainstalowaną na serwerze. Pobierz ostatnią wersję na stronie internetowej Pobierz stronę curl i postępuj zgodnie z procedurą instalacji procedura instalacji curl

• Odzyskać zaświadczenie organu wydającego zaświadczenie dla serwer.

• Dodaj ten certyfikat do pliku CAcert używanego przez curl. Na moim serwerze znajduje się w /etc/pki/tls/certs/ca-bundle.crt.

• Skonfiguruj git, aby używał tego pliku certyfikatu poprzez edycję .plik gitconfig i ustaw ścieżkę sslcainfo. sslcainfo= /etc/pki/tls/certs/ca-bundle.crt

• Na komputerze klienckim należy uzyskać certyfikat i skonfigurować .plik gitconfig też.

Próbowałem wszystkiego, w końcu zajrzałem do pliku hosts I był tam losowy wpis na GitHubie. Usunięcie aliasu naprawiło problem

% systemroot% \ system32 \ drivers\etc \ hosts

Po prostu wyłączyłem uwierzytelnianie certyfikatu SSL i użyłem prostej nazwy użytkownika hasło login, jak pokazano poniżej

Potrzebowałem certyfikatów tylko dla Cygwin i git, więc zrobiłem to, co napisał @esquifit. Jednak musiałem uruchomić krok 5 ręcznie, c_rehash nie był dostępny w moim systemie. Zastosowałem się do tego poradnika: Instalowanie certyfikatów CA w OpenSSL Framework.

Potrzebowałem dwóch rzeczy:

1. Przejdź do cygwin setup i dołącz pakiet ' ca-certificates' (jest pod Net) (jak wskazano w innym miejscu).

2. Powiedz gitowi, gdzie znaleźć zainstalowane certyfikaty:

   GIT_SSL_CAINFO= / usr / ssl / certs / ca-bundle.crt GIT_CURL_VERBOSE=1 git ...

   (opcja Verbose nie jest potrzebna)

   Lub zapisanie opcji na stałe:

   Git config -- global http.sslCAinfo /usr/ssl/certs / ca-bundle.crt

   Git ...

Miałem ten sam problem. Import certyfikatu lub polecenie wyłączające weryfikację ssl nie zadziałało. Okazuje się, że wygasło hasło dla serwera proxy sieciowego. Był wpis konfiguracji proxy. w ...plik gitconfig obecny w moim profilu użytkownika windows. Usunąłem cały wpis i znowu zaczął działać.

W systemie Mac OSX 10.5 udało mi się uruchomić to za pomocą prostej metody. Po pierwsze, uruchom procedury github i test, który działał ok dla mnie, pokazując, że mój certyfikat był rzeczywiście ok. https://help.github.com/articles/generating-ssh-keys

ssh -T [email protected]

W końcu zauważyłem jeszcze inny format url dla pilotów. Próbowałem innych, powyżej i nie zadziałały. http://git-scm.com/book/ch2-5.html

[email protected]:MyGithubUsername/MyRepoName.git

Prosty "git push myRemoteName" zadziałał świetnie!

Niedawno (Lipiec 2014) miał podobny problem i okazało się na OS X (10.9.4), że nie było" DigiCert High Assurance EV Root CA " certyfikat wygasł (chociaż miałem inny niewygasły, jak również).

1. Open Keychain Access
2. wyszukaj certyfikaty dla "DigiCert"
3. Wyświetl menu > Pokaż wygasłe certyfikaty

Znalazłem dwa certyfikaty o nazwie "DigiCert High Assurance EV Root CA", jeden wygasający w listopadzie 2031 i wygasł w lipcu 2014 (kilka dni poprzednio). Usunięcie wygasłego certyfikatu rozwiązało problem.

Mam nadzieję, że to pomoże.

Dla tych, którzy używają MSYS / MinGW GIT, dodaj to

  export GIT_SSL_CAINFO=/mingw32/ssl/certs/ca-bundle.crt