Git sembra riconoscere la proprietà http.sslcainfo da .gitconfig ma la ignora durante l'esecuzione? SEC_E_UNTRUSTED_ROOT

tutto, ho una catena di certificati funzionante (testabile con OpenSSL) ma in qualche modo non riesco a dire a Git di caricare questi certificati.

Ottengo lo stesso errore di "autorità radice non attendibile" (SEC_E_UNTRUSTED_ROOT) indipendentemente dal fatto che la mia configurazione git punti a un file di catena di certificati esistente o falso.

Per i dettagli, consultare lo screenshot allegato.

Impostazione che uso .gitconfigper file falsi:

sslCAInfo = C:/tmp/foobar.crt

oppure, per il file reale che funziona con OpenSSL:

sslCAInfo = C:/tmp/ca-bundle.crt

Trascrizione console:

C:\tmp>openssl version
OpenSSL 0.9.8h 28 May 2008

C:\tmp>git --version
git version 2.12.2.windows.2

C:\tmp>git config --list
http.sslverify=true
http.sslcainfo=C:/tmp/ca-bundle.crt

C:\tmp>dir
24.04.2017 13:45 10.875 ca-bundle.crt

c:\tmp>openssl s_client -state -connect https://mygithost:443 -CAfile .\ca-bundle.crt

Verify return code: 0 (ok)

C:\tmp git clone https://mygithost/bitbucket/scm/my.git
Cloning into ...
fatal: unable to access ... : schannel: next InitializeSecurityContext failed: SEC_E_UNTRUSTED_ROOT (0x80090325) - The certificate chain was issued by an authority that is not trusted.

C:\tmp> git -c http.sslverify=false clone https://mygithost/bitbucket/scm/my.git
Cloning into ...
Resoliving deltas: 100%, done.

C:\tmp>git config --list
http.sslverify=true
http.sslcainfo=C:/tmp/foobar.crt

C:\tmp\xxx\git pull
fatal: unable to access ... : schannel: next InitializeSecurityContext failed: SEC_E_UNTRUSTED_ROOT (0x80090325) - The certificate chain was issued by an authority that is not trusted.

Sono stato colpito da questo proprio oggi dopo una nuova installazione, quindi ecco come l'ho superato:

Dai tuoi registri (l'enfasi è mia):

fatale: impossibile accedere ...: schannel : successivo InitializeSecurityContext non riuscito:

git è configurato per usare schannel (implementazione nativa di Windows), ma schannel usa un bundle di Windows Certs e non un bundle di cainfo.

Per passare a openssl per utilizzare un file bundle personalizzato, utilizzare questo:

git config --system http.sslbackend openssl

E ora git onorerà il bundle CA passato in http.sslcainfo.

In alternativa, poiché il mio errore era un problema della suite di cifratura, potresti essere interessato dai seguenti link:

• https://support.microsoft.com/en-us/help/3161639
• nel caso abbiate ancora un vecchio sistema (Win2k3) https://support.microsoft.com/en-us/help/948963/an-update-is-available-to-add-support-for-the-tls-rsa -con-AES-128-CBC

Ho avuto qualcosa di simile un anno fa, quindi spero di ricordare -

Dovresti avere tutta la catena di certificati nel file crt. Verifica di disporre di tutti i certificati intermedi tra il tuo certificato bitbucket e quello principale (incluso).

Puoi dare un'occhiata al formato corretto per aggiungerli nel formato pem (che credo sia il tuo caso con la CRT) qui .

Il mio certificato è stato firmato da Comodo quando ho avuto quel problema, il loro certificato e l'intermedio non erano nel ca-bundle predefinito fornito dalla maggior parte dei sistemi.

Spero che aiuti!

Modifica: ora ho notato che succede anche con quello falso - prova a controllare i certificati noti predefiniti del sistema (ogni sistema ha tale). Su Windows è possibile accedere allo snap-in mmc Certificati di Windows .