Come correggere l'arricciatura: (60) Certificato SSL: catena di certificati non valida quando si utilizza sudo

Quindi, dal momento che il ricciolo di aggiornamento Mavericks ha più problemi con i certificati.

Durante il tentativo di arricciare un file dal mio server Web con il suo certificato autofirmato, veniva visualizzato l'errore "Certificato SSL: catena di certificati non valida".

Ciò è stato corretto aggiungendo il certificato al mio portachiavi di sistema e impostandolo per consentire sempre SSL, informazioni che ho trovato qui e qui .

Funziona bene e quando arriccia un file viene scaricato correttamente.

Tuttavia, se eseguo curl con sudo prima (ad esempio, ho uno script che deve essere eseguito con sudo e fa un curl in esso), allora torno allo stesso messaggio di errore.

Suppongo che root non legga dal portachiavi di sistema forse?

Qualcuno sa un modo per risolvere questo problema?

Se memorizzi i tuoi certificati CA sul filesystem (in formato PEM) puoi dire a curl di usarli

sudo curl --cacert /path/to/cacert.pem ...

Puoi anche disattivare la verifica del certificato con

sudo curl --insecure ...

Modifica: aggiornato per quanto riguarda il feedback

Se si desidera impostare questo in modo permanente, è necessario creare un .curlrcfile e posizionarlo nella directory principale. sudoi comandi potrebbero aver bisogno di questo file in /var/rootIl file accetta le stesse opzioni della riga di comando ma senza i trattini. Un'opzione per riga:

cacert=/path/to/my/certs.pem

La radice non legge dalle attuali impostazioni di attendibilità dell'utente, ma esistono sia impostazioni di attendibilità dell'amministratore che impostazioni di attendibilità specifiche dell'utente root. (Questi sono anche distinti dalle impostazioni di attendibilità del sistema .) Nota, inoltre, che le impostazioni di attendibilità del certificato sono in qualche modo distinte dal semplice aggiunta di un certificato a un portachiavi; puoi contrassegnare un certificato come attendibile senza aggiungerlo completamente. (La situazione esatta qui non mi è chiara e i documenti che ho visto sono vaghi.)

È possibile contrassegnare un certificato come attendibile per l'utente corrente come

$ security add-trusted-cert /path/to/cert.pem

ma questo non aiuta con root. La soluzione, come si può immaginare, è sudola precedente, che la contrassegna come attendibile per l'utente root in particolare:

$ sudo security add-trusted-cert /path/to/cert.pem

o per utilizzare il -dflag per aggiungerlo alle impostazioni di attendibilità dell'amministratore:

$ security add-trusted-cert -d /path/to/cert.pem

(OS X mostrerà una finestra di dialogo per confermare la password.)

Uno dei due ultimi sembra essere sufficiente per sudo curl.

Riferimento: https://developer.apple.com/library/mac/Documentation/Darwin/Reference/ManPages/man1/security.1.html

Questo è davvero nel suggerimento di output:

echo insecure >> ~/.curlrc

Il vantaggio di utilizzare la soluzione di cui sopra è che funziona per tutti i curlcomandi, ma non è raccomandato poiché potrebbe introdurre attacchi MITM connettendosi a host non sicuri e non affidabili.

Se usi MacPorts (e lo script di terze parti che hai citato non lo rimuove $PATHo chiama /usr/bin/curl) puoi installare le porte certsynce curlin questo ordine.

certsyncè uno strumento e un corrispondente programma di avvio che esporterà il tuo portachiavi di sistema $prefix/etc/openssl/cert.peme installerà un collegamento simbolico in $prefix/share/curl/curl-ca-bundle.crt -> $prefix/etc/openssl/cert.pemmodo che l'arricciatura di MacPorts raccolga automaticamente i certificati. certsyncaggiornerà anche automaticamente i file generati quando cambi il tuo portachiavi di sistema.

La documentazione che stai cercando è qui. Spiega come utilizzare cURL su Mavericks e come fornire i certificati: http://curl.haxx.se/mail/archive-2013-10/0036.html

Per far sudo curlfunzionare (su OSX Sierra), abbiamo dovuto importare il certificato System.keychaine fidarci lì. Questo potrebbe essere fatto manualmente nell'app Keychain o usando questo comando:

sudo security add-trusted-cert -d -k /Library/Keychains/System.keychain /path/to/cert.pem

È stato importante specificare -de impostare manualmente il percorso del portachiavi di sistema tramite -kper assicurarsi che il certificato venga effettivamente importato lì se non lo è ancora.

Il comando funziona senza sudo, ma quindi richiederebbe la password tramite una finestra di dialogo dell'interfaccia utente, che potrebbe essere un ostacolo per gli script.