Menggunakan Git, apakah ada cara untuk mengatakannya untuk menerima sertifikat yang ditandatangani sendiri?

Saya menggunakan server https untuk meng-host server git tetapi untuk saat ini sertifikat ditandatangani sendiri.

Ketika saya mencoba membuat repo di sana untuk pertama kalinya:

git push origin master -f

Saya mendapatkan kesalahan:

error: Cannot access URL     
https://the server/git.aspx/PocketReferences/, return code 22

fatal: git-http-push failed

Untuk secara permanen menerima sertifikat tertentu

Coba http.sslCAPathatau http.sslCAInfo. Jawaban Adam Spires memberikan beberapa contoh bagus. Ini adalah solusi paling aman untuk pertanyaan itu.

Untuk menonaktifkan verifikasi TLS / SSL untuk satu perintah git

mencoba melewati -cuntuk gitdengan variabel config yang tepat, atau menggunakan jawaban Flow :

git -c http.sslVerify=false clone https://example.com/path/to/git

Untuk menonaktifkan verifikasi SSL untuk repositori tertentu

Jika repositori sepenuhnya di bawah kendali Anda, Anda dapat mencoba:

git config --global http.sslVerify false

Ada beberapa opsi konfigurasi SSL di git. Dari halaman manual dari git config:

http.sslVerify
    Whether to verify the SSL certificate when fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_NO_VERIFY environment variable.

http.sslCAInfo
    File containing the certificates to verify the peer with when fetching or pushing
    over HTTPS. Can be overridden by the GIT_SSL_CAINFO environment variable.

http.sslCAPath
    Path containing files with the CA certificates to verify the peer with when
    fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_CAPATH environment variable.

Beberapa opsi konfigurasi SSL lain yang bermanfaat:

http.sslCert
    File containing the SSL certificate when fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_CERT environment variable.

http.sslKey
    File containing the SSL private key when fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_KEY environment variable.

http.sslCertPasswordProtected
    Enable git's password prompt for the SSL certificate. Otherwise OpenSSL will
    prompt the user, possibly many times, if the certificate or private key is encrypted.
    Can be overridden by the GIT_SSL_CERT_PASSWORD_PROTECTED environment variable.

Anda dapat mengatur GIT_SSL_NO_VERIFYke true:

GIT_SSL_NO_VERIFY=true git clone https://example.com/path/to/git

atau jika tidak, konfigurasikan Git untuk tidak memverifikasi koneksi pada baris perintah:

git -c http.sslVerify=false clone https://example.com/path/to/git

Perhatikan bahwa jika Anda tidak memverifikasi sertifikat SSL / TLS, maka Anda rentan terhadap serangan MitM .

Saya bukan penggemar berat dari [EDIT: versi asli dari] jawaban yang ada, karena menonaktifkan pemeriksaan keamanan harus menjadi pilihan terakhir, bukan solusi pertama yang ditawarkan. Meskipun Anda tidak dapat mempercayai sertifikat yang ditandatangani sendiri pada tanda terima pertama tanpa beberapa metode verifikasi tambahan, menggunakan sertifikat untuk gitoperasi selanjutnya setidaknya membuat hidup jauh lebih sulit untuk serangan yang hanya terjadi setelah Anda mengunduh sertifikat. Dengan kata lain, jika sertifikat yang Anda unduh adalah asli, maka Anda baik-baik saja sejak saat itu. Sebaliknya, jika Anda cukup menonaktifkan verifikasi maka Anda terbuka lebar untuk segala jenis serangan man-in-the-middle di titik mana pun .

Untuk memberikan contoh spesifik: repo.or.czrepositori yang terkenal menyediakan sertifikat yang ditandatangani sendiri . Saya dapat mengunduh file itu, meletakkannya di suatu tempat seperti /etc/ssl/certs, dan kemudian melakukan:

# Initial clone
GIT_SSL_CAINFO=/etc/ssl/certs/rorcz_root_cert.pem \
    git clone https://repo.or.cz/org-mode.git

# Ensure all future interactions with origin remote also work
cd org-mode
git config http.sslCAInfo /etc/ssl/certs/rorcz_root_cert.pem

Perhatikan bahwa menggunakan lokal di git configsini (yaitu tanpa --global) berarti bahwa sertifikat yang ditandatangani sendiri ini hanya dipercaya untuk repositori khusus ini, yang bagus. Ini juga lebih baik daripada menggunakan GIT_SSL_CAPATHkarena menghilangkan risiko gitmelakukan verifikasi melalui Otoritas Sertifikat berbeda yang berpotensi dikompromikan.

Konfigurasi Sertifikat Git yang Ditandatangani Sendiri

tl; dr

JANGAN PERNAH menonaktifkan semua verifikasi SSL!

Ini menciptakan budaya keamanan yang buruk. Jangan menjadi orang itu.

Kunci konfigurasi yang Anda cari adalah:

• http.sslverify- Selalu benar. Lihat catatan di atas.

Ini untuk mengonfigurasi sertifikat host yang Anda percayai

• http.sslCAPath
• http.sslCAInfo

Ini untuk mengonfigurasi sertifikat ANDA untuk merespons tantangan SSL.

• http.sslCert
• http.sslCertPasswordProtected

Secara selektif menerapkan pengaturan di atas untuk host tertentu.

• http.<url>.*

Global .gitconfiguntuk Otoritas Sertifikat yang Ditandatangani Sendiri

Demi saya sendiri dan rekan-rekan saya di sini adalah bagaimana kami berhasil mendapatkan sertifikat yang ditandatangani sendiri untuk bekerja tanpa menonaktifkan sslVerify. Edit Anda.gitconfig untuk menggunakan git config --global -etambahkan ini:

# Specify the scheme and host as a 'context' that only these settings apply
# Must use Git v1.8.5+ for these contexts to work
[credential "https://your.domain.com"]
  username = user.name

  # Uncomment the credential helper that applies to your platform
  # Windows
  # helper = manager

  # OSX
  # helper = osxkeychain

  # Linux (in-memory credential helper)
  # helper = cache

  # Linux (permanent storage credential helper)
  # https://askubuntu.com/a/776335/491772

# Specify the scheme and host as a 'context' that only these settings apply 
# Must use Git v1.8.5+ for these contexts to work
[http "https://your.domain.com"]
  ##################################
  # Self Signed Server Certificate #
  ##################################

  # MUST be PEM format
  # Some situations require both the CAPath AND CAInfo 
  sslCAInfo = /path/to/selfCA/self-signed-certificate.crt
  sslCAPath = /path/to/selfCA/
  sslVerify = true

  ###########################################
  # Private Key and Certificate information #
  ###########################################

  # Must be PEM format and include BEGIN CERTIFICATE / END CERTIFICATE, 
  # not just the BEGIN PRIVATE KEY / END PRIVATE KEY for Git to recognise it.
  sslCert = /path/to/privatekey/myprivatecert.pem

  # Even if your PEM file is password protected, set this to false.
  # Setting this to true always asks for a password even if you don't have one.
  # When you do have a password, even with this set to false it will prompt anyhow. 
  sslCertPasswordProtected = 0

Referensi:

• Git Kredensial
• Toko Kredensial Git
• Menggunakan Gnome Keyring sebagai toko kredensial
• Git Config http. <url>. * Didukung dari Git v1.8.5

Tentukan konfigurasi saat git clone-ing

Jika Anda perlu menerapkannya pada basis per repo, dokumentasi memberitahu Anda untuk hanya berjalan git config --localdi direktori repo Anda. Nah itu tidak berguna ketika Anda belum mendapatkan repo yang dikloning secara lokal, tetapi sekarang bukan?

Anda dapat melakukan global -> localtipu-muslihat dengan mengatur konfigurasi global Anda seperti di atas dan kemudian menyalin pengaturan tersebut ke konfigurasi repo lokal Anda setelah diklon ...

ATAU apa yang dapat Anda lakukan adalah menentukan perintah konfigurasigit clone yang diterapkan pada repo target setelah dikloning.

# Declare variables to make clone command less verbose     
OUR_CA_PATH=/path/to/selfCA/
OUR_CA_FILE=$OUR_CA_PATH/self-signed-certificate.crt
MY_PEM_FILE=/path/to/privatekey/myprivatecert.pem
SELF_SIGN_CONFIG="-c http.sslCAPath=$OUR_CA_PATH -c http.sslCAInfo=$OUR_CA_FILE -c http.sslVerify=1 -c http.sslCert=$MY_PEM_FILE -c http.sslCertPasswordProtected=0"

# With this environment variable defined it makes subsequent clones easier if you need to pull down multiple repos.
git clone $SELF_SIGN_CONFIG https://mygit.server.com/projects/myproject.git myproject/

Satu Liner

EDIT: Lihat VonC 's jawaban bahwa titik-titik keluar peringatan tentang path absolut dan relatif untuk versi git dari 2.14.x / 2,15 untuk satu kapal ini

git clone -c http.sslCAPath="/path/to/selfCA" -c http.sslCAInfo="/path/to/selfCA/self-signed-certificate.crt" -c http.sslVerify=1 -c http.sslCert="/path/to/privatekey/myprivatecert.pem" -c http.sslCertPasswordProtected=0 https://mygit.server.com/projects/myproject.git myproject/

CentOS unable to load client key

Jika Anda mencoba ini pada CentOS dan .pemfile Anda memberi Anda

unable to load client key: "-8178 (SEC_ERROR_BAD_KEY)"

Maka Anda akan menginginkan jawaban StackOverflow ini tentang cara curlmenggunakan NSS alih-alih Open SSL.

Dan Anda ingin membangun kembali curldari sumber :

git clone http://github.com/curl/curl.git curl/
cd curl/
# Need these for ./buildconf
yum install autoconf automake libtool m4 nroff perl -y
#Need these for ./configure
yum install openssl-devel openldap-devel libssh2-devel -y

./buildconf
su # Switch to super user to install into /usr/bin/curl
./configure --with-openssl --with-ldap --with-libssh2 --prefix=/usr/
make
make install

restart komputer karena libcurl masih dalam memori sebagai perpustakaan bersama

Python, pip, dan conda

Terkait : Bagaimana cara menambahkan sertifikat CA Root kustom ke CA Store yang digunakan oleh pip di Windows?

Saya terus menemukan masalah ini, jadi tuliskan skrip untuk mengunduh sertifikat yang ditandatangani sendiri dari server dan menginstalnya ke ~ / .gitcerts, kemudian perbarui git-config untuk menunjuk ke sertifikat ini. Ini disimpan dalam konfigurasi global, jadi Anda hanya perlu menjalankannya sekali per remote.

https://github.com/iwonbigbro/tools/blob/master/bin/git-remote-install-cert.sh

Jawaban ini disarikan dari artikel ini yang ditulis oleh Michael Kauffman.

Gunakan Git untuk Windows dengan sertifikat SSL perusahaan

Masalah :

Jika Anda memiliki sertifikat SSL perusahaan dan ingin mengkloning repo Anda dari konsol atau VSCode Anda mendapatkan kesalahan berikut:

fatal: tidak dapat mengakses ' https: // myserver / tfs / DefaultCollection / _git / Proj / ': Masalah sertifikat SSL: tidak bisa mendapatkan sertifikat penerbit lokal

Solusi :

1. Ekspor sertifikat yang ditandatangani sendiri root ke file. Anda dapat melakukan ini dari dalam browser Anda.

2. Temukan file "ca-bundle.crt" di folder git Anda (versi C saat ini: \ Program Files \ Git \ usr \ ssl \ certs tetapi telah diubah di masa lalu). Salin file ke profil pengguna Anda. Buka dengan editor teks seperti VSCode dan tambahkan konten sertifikat yang diekspor ke akhir file.

Sekarang kita harus mengkonfigurasi git untuk menggunakan file baru:

git config --global http.sslCAInfo C:/Users/<yourname>/ca-bundle.crt

Ini akan menambahkan entri berikut ke file .gitconfig Anda di root profil pengguna Anda.

[http] sslCAInfo = C:/Users/<yourname>/ca-bundle.crt

Untuk menonaktifkan verifikasi SSL untuk repositori tertentu Jika repositori sepenuhnya di bawah kendali Anda, Anda dapat mencoba:

 git config --global http.sslVerify false

Hati-hati bila Anda menggunakan satu kapal menggunakan sslKey atau sslCert, seperti dalam Josh Puncak 's jawabannya :

git clone -c http.sslCAPath="/path/to/selfCA" \
  -c http.sslCAInfo="/path/to/selfCA/self-signed-certificate.crt" \
  -c http.sslVerify=1 \
  -c http.sslCert="/path/to/privatekey/myprivatecert.pem" \
  -c http.sslCertPasswordProtected=0 \
https://mygit.server.com/projects/myproject.git myproject

Hanya Git 2.14.x / 2.15 (Q3 2015) yang dapat menginterpretasikan path seperti ~username/mykeydengan benar (sementara itu masih dapat menginterpretasikan path absolut seperti /path/to/privatekey).

Lihat komit 8d15496 (20 Jul 2017) oleh Junio ​​C Hamano ( gitster) .
Dibantu-oleh: Charles Bailey ( hashpling) .
^{(Digabung oleh Junio ​​C Hamano - gitster- dalam komit 17b1e1d , 11 Agu 2017)}

http.c: http.sslcertdan http.sslkeykeduanya adalah nama path

Kembali ketika kode http_options () modern dibuat untuk mem-parsing berbagai opsi http. * Di 29508e1 ("Isolasikan fungsi permintaan HTTP bersama", 2005-11-18, Git 0.99.9k), dan kemudian dikoreksi untuk interaksi antara beberapa file konfigurasi dalam 7059cd9 (" http_init(): Perbaiki parsing file konfigurasi", 2009-03-09, Git 1.6.3-rc0), kami mem-parsing variabel konfigurasi seperti http.sslkey, http.sslcertsebagai string vanilla biasa, karena git_config_pathname()yang memahami ~[username]/awalan " " tidak ada.

Kemudian, kami mengonversi beberapa dari mereka (yaitu, http.sslCAPathdan http.sslCAInfo) untuk menggunakan fungsi, dan menambahkan variabel suka http.cookeyFile http.pinnedpubkeymenggunakan fungsi dari awal. Karena itu, semua variabel ini mengerti " ~[username]/" awalan.

Buat dua variabel yang tersisa, http.sslcertdan http.sslkey, juga sadari konvensi, karena keduanya jelas nama path ke file.

Menggunakan Git versi 64bit di Windows, tambahkan saja sertifikat CA yang ditandatangani sendiri ke file-file ini:

• C: \ Program Files \ Git \ mingw64 \ ssl \ certs \ ca-bundle.crt
• C: \ Program Files \ Git \ mingw64 \ ssl \ certs \ ca-bundle.trust.crt

Jika itu hanya sertifikat yang ditandatangani sendiri server tambahkan ke

• C: \ Program Files \ Git \ mingw64 \ ssl \ cert.pem

Periksa pengaturan antivirus dan firewall Anda.

Dari satu hari ke hari lainnya, git tidak bekerja lagi. Dengan apa yang dijelaskan di atas, saya menemukan bahwa Kaspersky menempatkan sertifikat root pribadi Anti-virus yang ditandatangani sendiri di tengah. Saya tidak berhasil membiarkan Git menerima sertifikat itu mengikuti instruksi di atas. Saya menyerah pada itu. Yang berhasil bagi saya adalah menonaktifkan fitur untuk Memindai koneksi terenkripsi.

1. Buka Kaspersky
2. Pengaturan> Tambahan> Jaringan> Jangan memindai koneksi terenkripsi

Setelah ini, git bekerja lagi dengan sslVerify diaktifkan.

Catatan. Ini masih tidak memuaskan bagi saya, karena saya ingin fitur Anti-Virus saya aktif. Di pengaturan lanjutan, Kaspersky menunjukkan daftar situs web yang tidak akan berfungsi dengan fitur itu. Github tidak terdaftar sebagai salah satunya. Saya akan memeriksanya di forum Kaspersky. Tampaknya ada beberapa topik, misalnya https://forum.kaspersky.com/index.php?/topic/395220-kis-interfering-with-git/&tab=comments#comment-2801211

Dalam file .gitconfig Anda dapat menambahkan nilai yang diberikan di bawah ini untuk membuat sertifikat yang ditandatangani sendiri dapat diterima

sslCAInfo = /home/XXXX/abc.crt

Saya melakukannya seperti ini:

git init
git config --global http.sslVerify false
git clone https://myurl/myrepo.git

Di Windows ini berfungsi untuk saya:

Tambahkan konten sertifikat yang Anda tandatangani sendiri di akhir file ca-bundle . Termasuk ----- SERTIFIKAT DIMULAI ----- dan ----- AKHIR SERTIFIKAT ----- baris

Lokasi file ca-bundle biasanya C: \ Program Files \ Git \ mingw64 \ ssl \ certs

Setelah itu, tambahkan path file ca-bundle ke global git config. Perintah berikut melakukan trik:git config --global http.sslCAInfo "C:/Program Files/Git/mingw64/ssl/certs/ca-bundle.crt"

Catatan: Path tergantung pada path lokal Anda dari file ca-bundle!

Saya menggunakan mesin windows dan artikel ini membantu saya. Pada dasarnya saya membuka ca-bundle.crt di notepad dan menambahkan sertifikat berantai di dalamnya (semuanya). Masalah ini biasanya terjadi pada jaringan perusahaan di mana kami memiliki perantara yang duduk di antara sistem dan git repo. Kita perlu mengekspor semua sertifikat dalam rantai sertifikat kecuali daun sertifikat dalam format basis 64 dan menambahkan semuanya ke ca-bundle.crt dan kemudian mengkonfigurasi git untuk file crt yang dimodifikasi ini.

Ini bukan praktik yang baik untuk mengatur http.sslVerify false. Sebaliknya, kita dapat menggunakan sertifikat SSL.

Jadi, build agent akan menggunakan https dengan sertifikat SSL dan PAT untuk otentikasi.

Salin konten file cer termasuk –begin — dan –end--.

git bash pada build agent => git config –global http.sslcainfo “C: / Program Files / Git / mingw64 / ssl / certs / ca-bundle.crt” Buka file ini dan tambahkan konten .cer.

Dengan demikian, build agent dapat mengakses sertifikat SSL

Jawaban saya mungkin terlambat tetapi itu berhasil untuk saya. Mungkin membantu seseorang.

Saya mencoba langkah-langkah yang disebutkan di atas dan itu tidak menyelesaikan masalah.

coba inigit config --global http.sslVerify false