Sertifikat SSL menolak mencoba mengakses GitHub melalui HTTPS di balik firewall

Saya terjebak di belakang firewall sehingga harus menggunakan HTTPS untuk mengakses repositori GitHub saya. Saya menggunakan cygwin 1.7.7 pada Windows XP.

Saya sudah mencoba mengatur remote ke https://username@github.com/username/ExcelANT.git, tetapi mendorong meminta kata sandi, tetapi tidak melakukan apa-apa begitu saya memasukkannya. https://username:<password>github.com/username/ExcelANT.gitdan kloning repo kosong dari awal tetapi setiap kali itu memberi saya kesalahan yang sama

kesalahan: masalah sertifikat SSL, verifikasi bahwa sertifikat CA adalah OK. Detail:
kesalahan: 14090086: Rutinitas SSL: SSL3_GET_SERVER_CERTIFICATE: verifikasi sertifikat gagal saat mengakses https://github.com/username/ExcelANT.git/info/refs

Menyalakan GIT_CURL_VERBOSE=1memberi saya

* Akan terhubung () ke port github.com 443 (# 0)
* Mencoba 207.97.227.239 ... * berhasil menetapkan lokasi verifikasi sertifikat:
* CAfile: tidak ada
CApath: / usr / ssl / certs
* Masalah sertifikat SSL, verifikasi bahwa sertifikat CA baik-baik saja. Detail:
kesalahan: 14090086: Rutinitas SSL: SSL3_GET_SERVER_CERTIFICATE: verifikasi sertifikat gagal
* Berakhir masa berlaku
* Koneksi penutupan # 0
* Akan terhubung () ke port github.com 443 (# 0)
* Mencoba 207.97.227.239 ... * berhasil mengatur sertifikat verifikasi lokasi:
* CAfile: tidak ada
CApath: / usr / ssl / certs
* Masalah sertifikat SSL, verifikasi bahwa sertifikat CA adalah OK. Detail:
kesalahan: 14090086: Rutinitas SSL: SSL3_GET_SERVER_CERTIFICATE: verifikasi sertifikat gagal
* Kedaluwarsa dihapus
*
Kesalahan koneksi penutupan # 0 : Masalah sertifikat SSL, verifikasi bahwa sertifikat CA OK. Detail:
kesalahan: 14090086: Rutinitas SSL: SSL3_GET_SERVER_CERTIFICATE: verifikasi sertifikat gagal saat mengakses https://github.com/username/ExcelANT.git/info/refs

fatal: HTTP request failed

Apakah ini masalah dengan firewall saya, cygwin atau apa?

Saya belum menetapkan proxy HTTP di konfigurasi Git, namun ini adalah server ISA yang membutuhkan otentikasi NTLM, bukan dasar, jadi kecuali ada yang tahu cara memaksa git untuk menggunakan NTLM, saya batal.

Jangan lewatkan jawaban ini jika Anda ingin memperbaiki masalah sertifikat. Jawaban ini berkaitan dengan tunneling ssh melalui firewall yang merupakan solusi yang lebih baik untuk menangani firewall / proxy.

Ada cara yang lebih baik daripada menggunakan akses http dan itu adalah dengan menggunakan layanan ssh yang ditawarkan oleh github pada port 443 dari server ssh.github.com.

Kami menggunakan alat yang disebut pembuka botol. Ini tersedia untuk CygWin (melalui pengaturan dari beranda cygwin) dan Linux menggunakan alat pengemasan favorit Anda. Untuk MacOSX tersedia dari macports dan setidaknya menyeduh.

Perintahnya adalah sebagai berikut:

$ corkscrew <proxyhost> <proxyport> <targethost> <targetport> <authfile>

Proxyhost dan proxyport adalah koordinat proksi https. Targethost dan targetport adalah lokasi host to tunnel to. Authfile adalah file teks dengan 1 baris yang berisi nama pengguna / kata sandi server proxy Anda yang dipisahkan oleh tanda titik dua

misalnya:

abc:very_secret

Instalasi untuk menggunakan protokol ssh "normal" untuk komunikasi git

Dengan menambahkan ini ke ~/.ssh/configtrik ini dapat digunakan untuk koneksi ssh normal.

Host github.com
  HostName ssh.github.com
  Port 443
  User git
  ProxyCommand corkscrew <proxyhost> <proxyport> %h %p ~/.ssh/proxy_auth

sekarang Anda dapat mengujinya bekerja dengan ssh-ing ke gitproxy

pti@pti-laptop:~$ ssh github.com
PTY allocation request failed on channel 0
Hi ptillemans! You've successfully authenticated, but GitHub does not provide shell access.
       Connection to github.com closed.
pti@pti-laptop:~$

(Catatan: jika Anda belum pernah masuk ke github sebelumnya, ssh akan meminta untuk menambahkan kunci server ke file host yang dikenal. Jika Anda paranoid, disarankan untuk memverifikasi sidik jari RSA dengan yang ditunjukkan pada situs github di mana Anda mengunggah kunci Anda).

Sedikit variasi pada metode ini adalah kasus ketika Anda perlu mengakses repositori dengan kunci lain, misalnya untuk memisahkan akun pribadi Anda dari akun profesional Anda.

# 
# account dedicated for the ACME private github account 
#
Host acme.github.com
  User git
  HostName ssh.github.com
  Port 443
  ProxyCommand corkscrew <proxyhost> <3128> %h %p ~/.ssh/proxy_auth
  IdentityFile ~/.ssh/id_dsa_acme

Nikmati!

Kami telah menggunakan ini selama bertahun-tahun sekarang di Linux, Mac dan Windows.

Jika mau, Anda dapat membaca lebih lanjut tentang hal ini di posting blog ini

Masalahnya adalah Anda tidak memiliki sertifikat Otoritas Sertifikasi yang diinstal pada sistem Anda. Dan sertifikat ini tidak dapat diinstal dengan setup.exe cygwin.

Pembaruan: Instal paket Net / ca-sertifikat di cygwin (terima kasih dirkjot)

Ada dua solusi:

1. Sebenarnya menginstal sertifikat root. Curl guys diekstraksi untuk Anda sertifikat dari Mozilla .

   cacert.pemFile adalah apa yang Anda cari. File ini mengandung> 250 sertifikat CA (tidak tahu bagaimana mempercayai jumlah ppl ini). Anda perlu mengunduh file ini, membaginya menjadi masing-masing sertifikat, letakkan di / usr / ssl / certs (CApath Anda) dan indekskan.

   Inilah cara melakukannya. Dengan cygwin setup.exe, instal curl dan jalankan paket openssl:

   $ cd /usr/ssl/certs
   $ curl http://curl.haxx.se/ca/cacert.pem |
     awk '{print > "cert" (1+n) ".pem"} /-----END CERTIFICATE-----/ {n++}'
   $ c_rehash

   Penting : Untuk menggunakan c_rehashAnda harus menginstal openssl-perljuga.

2. Abaikan verifikasi sertifikat SSL.

   PERINGATAN: Menonaktifkan verifikasi sertifikat SSL memiliki implikasi keamanan. Tanpa verifikasi keaslian koneksi SSL / HTTPS, penyerang jahat dapat menyamaratakan titik akhir tepercaya (seperti GitHub atau host Git jarak jauh lainnya), dan Anda akan rentan terhadap Serangan Manusia-dalam-Tengah . Pastikan Anda benar-benar memahami masalah keamanan dan model ancaman Anda sebelum menggunakan ini sebagai solusi.

   $ env GIT_SSL_NO_VERIFY=true git clone https://github...
   

Catatan: menonaktifkan verifikasi SSL memiliki implikasi keamanan . Ini memungkinkan serangan Man in the Middle ketika Anda menggunakan Git untuk mentransfer data melalui jaringan. Pastikan Anda sepenuhnya memahami implikasi keamanan sebelum menggunakan ini sebagai solusi. Atau lebih baik lagi, instal sertifikat root.

Salah satu caranya adalah dengan menonaktifkan verifikasi SSL CERT:

git config --global http.sslVerify false

Ini akan mencegah CURL untuk memverifikasi sertifikasi HTTPS.

Hanya untuk satu repositori:

git config http.sslVerify false

Saya ingin Git menggunakan bundel sertifikat yang diperbarui tanpa mengganti yang digunakan seluruh sistem saya. Inilah cara agar Git menggunakan file tertentu di direktori home saya:

mkdir ~/certs
curl http://curl.haxx.se/ca/cacert.pem -o ~/certs/cacert.pem

Sekarang perbarui .gitconfiguntuk menggunakan ini untuk verifikasi rekan:

[http]
sslCAinfo = /home/radium/certs/cacert.pem

Catatan saya menggunakan jalur absolut. Git tidak melakukan ekspansi jalur di sini, jadi Anda tidak dapat menggunakan ~tanpa kludge yang jelek. Atau, Anda dapat melewatkan file konfigurasi dan mengatur lintasan melalui variabel lingkunganGIT_SSL_CAINFO sebagai gantinya.

Untuk memecahkan masalah ini, atur GIT_CURL_VERBOSE=1. Path file CA yang digunakan Git akan ditampilkan pada baris yang dimulai dengan "CAfile:" di output.

Perhatikan bahwa bagi saya agar ini berfungsi (instal RVM pada CentOS 5.6), saya harus menjalankan yang berikut:

export GIT_SSL_NO_VERIFY=true

dan setelah itu, prosedur instalasi standar untuk melengkungkan installer RVM ke bash berhasil :)

Solusi yang sangat sederhana: ganti https: // dengan git: //

Gunakan git: //the.repository alih-alih https: //the.repository dan akan berfungsi.

Saya punya masalah ini pada Windows dengan TortoiseGit dan ini menyelesaikannya.

Sebagai jawaban paling populer (oleh Alexey Vishentsev):

Masalahnya adalah Anda tidak memiliki sertifikat Otoritas Sertifikasi yang diinstal pada sistem Anda. Dan sertifikat ini tidak dapat diinstal dengan setup.exe cygwin.

Namun, pernyataan terakhir itu salah (sekarang, atau selalu, saya tidak tahu).

Yang harus Anda lakukan adalah pergi ke pengaturan cygwin dan termasuk paket 'ca-sertifikat' (itu di bawah Net). Ini berhasil bagi saya.

Saya tahu daftar pertanyaan asli Cygwin, tetapi di sini adalah solusi untuk CentOS:

curl http://curl.haxx.se/ca/cacert.pem -o /etc/pki/tls/certs/ca-bundle.crt

Sumber: http://eric.lubow.org/2011/security/fixing-centos-root-certificate-authority-issues/

Untuk mengkloning di windows sambil mengatur SSL memverifikasi ke false:

    git -c http.sslVerify=false clone http://example.com/e.git

Jika Anda ingin mengkloning tanpa membuat pengaturan global Anda.

Pada CentOS 5.x, sederhana yum update opensslmemperbarui paket openssl yang memperbarui ca-bundle.crtfile sistem dan memperbaiki masalah bagi saya.

Hal yang sama mungkin berlaku untuk distribusi lain.

Jika yang ingin Anda lakukan hanyalah menggunakan klien Cygwin git dengan github.com, ada cara yang lebih sederhana tanpa harus melalui kerumitan mengunduh, mengekstraksi, mengubah, memecah file cert. Lanjutkan sebagai berikut (Saya berasumsi Windows XP dengan Cygwin dan Firefox)

1. Di Firefox, buka halaman github (apa saja)
2. klik pada ikon github pada bilah alamat untuk menampilkan sertifikat
3. Klik "informasi lebih lanjut" -> "tampilkan sertifikat" -> "perincian" dan pilih setiap simpul dalam hierarki yang dimulai dengan yang paling atas; untuk masing-masing klik pada "Ekspor" dan pilih format PEM:
   • GTECyberTrustGlobalRoot.pem
   • DigiCertHighAssuranceEVRootCA.pem
   • DigiCertHighAssuranceEVCA-1.pem
   • github.com.pem
4. Simpan file di atas di suatu tempat di drive lokal Anda, ubah ekstensi menjadi .pem dan pindahkan ke / usr / ssl / certs di instalasi Cygwin Anda (Windows: c: \ cygwin \ ssl \ certs)
5. (opsional) Jalankan c_reshash dari bash.

Itu dia.

Tentu saja ini hanya menginstal satu hierarki cert, yang Anda butuhkan untuk github. Tentu saja Anda dapat menggunakan metode ini dengan situs lain mana pun tanpa perlu menginstal 200 sertifikat situs yang tidak Anda percayai.

Jika Anda menggunakan Mac OS X, Anda dapat menginstal ca-cert-bundle melalui homebrew:

$ brew install curl-ca-bundle
$ git config --system http.sslcainfo /usr/local/share/ca-bundle.crt

The rumus menginstal bundel cert untuk berbagi Anda melalui:

share.install 'ca-bundle.crt'

The sharemetode adalah hanya sebuah alias untuk /usr/local/share, dan ikal-ca-bundle disediakan oleh Mozilla. Apa yang Anda lihat dirujuk dalam banyak masalah. Semoga ini bisa membantu karena tidak terlalu mudah tentang bagaimana mendekati ini di Mac OS X. brew install curltidak akan banyak membantu Anda karena hanya tong dan tidak akan ditautkan (menjalankan which curlakan selalu menghasilkan /usr/bin/curl, yang merupakan default yang dikirimkan bersama dengan Anda OS). Posting ini mungkin juga bernilai .

Anda tentu saja harus menonaktifkan SSL sebelum Anda menginstal homebrewkarena itu repo git. Lakukan saja apa yang dikatakan curl ketika kesalahan keluar selama verifikasi SSL dan:

$ echo insecure >> ~/.curlrc

Setelah Anda homebrewmenginstal bersama dengan itu curl-ca-bundle, hapus .curlrcdan coba kloning repo di github. Pastikan tidak ada kesalahan dan Anda akan baik-baik saja.

CATATAN: Jika Anda terpaksa .curlrc, hapus dari sistem Anda saat Anda selesai pengujian. File ini dapat menyebabkan masalah besar, jadi gunakan untuk tujuan sementara dan dengan hati-hati. brew doctorakan mengeluh jika Anda lupa untuk membersihkannya dari sistem Anda).

CATATAN: Jika Anda memperbarui versi git Anda, Anda harus menjalankan kembali perintah ini karena pengaturan sistem Anda akan terhapus (mereka disimpan relatif terhadap biner git berdasarkan versi).

Jadi setelah berlari:

$ brew update
$ brew upgrade

Jika Anda mendapatkan versi baru dari git, maka jalankan kembali:

$ git config --system http.sslcainfo /usr/local/share/ca-bundle.crt

Dan Anda akan siap.

Terakhir jika Anda memiliki versi baru git, jalankan:

$ git config -l --system

seharusnya memberi Anda kesalahan di sepanjang baris

fatal: unable to read config file '/usr/local/Cellar/git/1.8.2.2/etc/gitconfig'

itulah tip Anda yang perlu Anda beri tahu git di mana bundel Mozilla berada.

MEMPERBARUI:

.curlrcmungkin atau mungkin bukan obat untuk masalah Anda. Bagaimanapun, dapatkan saja bundel Mozilla yang diinstal pada mesin Anda apakah Anda harus mengunduhnya secara manual atau tidak. Itu yang penting di sini. Setelah Anda mendapatkan bundel, Anda siap melakukannya. Cukup jalankan perintah git config dan arahkan git ke ca-bundle.

MEMPERBARUI

Saya baru-baru ini harus menambahkan:

export CURL_CA_BUNDLE=/usr/local/share/ca-bundle.crtke .zshenvfile dot saya karena saya menggunakan zsh. yang git configpilihan bekerja untuk kebanyakan kasus, tapi ketika memukul github atas SSL ( rvm get stablemisalnya), saya masih berlari ke dalam masalah sertifikat. @Maverick menunjukkan hal ini dalam komentarnya, tetapi untuk berjaga-jaga seandainya seseorang melewatkannya atau menganggap mereka tidak perlu mengekspor variabel lingkungan ini selain menjalankangit config --system.... perintah. Terima kasih dan berharap ini bisa membantu.

MEMPERBARUI

Sepertinya curl-ca-bundle baru - baru ini dihapus dari homebrew . Ada rekomendasi di sini .

Anda ingin memasukkan beberapa file ke:

$(brew --prefix)/etc/openssl/certs

Anda dapat mencoba perintah ini di Terminal :

git config --global http.sslVerify false

Saya memperbaiki masalah ini menggunakan apt-cyg (penginstal hebat yang mirip dengan apt-get) untuk mengunduh ka-sertifikat dengan mudah (termasuk Git dan banyak lagi):

apt-cyg install ca-certificates

Catatan : apt-cyg harus diinstal terlebih dahulu. Anda dapat melakukan ini dari baris perintah Windows:

cd c:\cygwin
setup.exe -q -P wget,tar,qawk,bzip2,subversion,vim

Tutup Windows cmd, dan buka Cygwin Bash:

wget rawgit.com/transcode-open/apt-cyg/master/apt-cyg
install apt-cyg /bin

pada pi rasberi aku

pi @ raspbmc: ~ $ git clone http: //github.com/andreafabrizi/Dropbox-Uploader .git Mengkloning ke 'Dropbox-Uploader' ... kesalahan: Masalah dengan sertifikat CA CA (jalur? Hak akses?) saat mengakses http: // github.com/andreafabrizi/Dropbox-Uploader.git/info/refs fatal: Permintaan HTTP gagal

jadi id a

sudo apt-get install ca-certificates

kemudian

git clone http://github.com/andreafabrizi/Dropbox-Uploader.git  

bekerja

Jika Anda menggunakan OS berbasis debian, Anda bisa menjalankannya

apt-get install ca-sertifikat

Saya mengalami masalah yang sama untuk Solaris Express 11. Saya butuh beberapa saat, tetapi saya berhasil menemukan di mana sertifikat perlu ditempatkan. Menurut /etc/openssl/openssl.cnf, jalur untuk sertifikat adalah / etc / openssl / certs. Saya menempatkan sertifikat yang dihasilkan menggunakan saran di atas dari Alexey.

Anda dapat memverifikasi bahwa semuanya berfungsi menggunakan openssl pada commandline:

openssl s_client -connect github.com:443

Coba gunakan file .netrc, itu akan mengotentikasi lebih dari https. Buat panggilan file .netrcdi direktori home Anda dan letakkan ini di dalamnya:

machine github.com login myusername password mypass

Lihat posting ini untuk info lebih lanjut:

https://plus.google.com/u/0/104462765626035447305/posts/WbwD4zcm2fj

Tingkatkan solusi RouMao dengan menonaktifkan sementara verifikasi GIT / curl ssl di Windows cmd:

set GIT_SSL_NO_VERIFY=true
git config --global http.proxy http://<your-proxy>:443

Hal yang baik tentang solusi ini adalah hanya berpengaruh pada jendela cmd saat ini.

Sudahkah Anda memeriksa waktu Anda?

Saya benar-benar menolak untuk membuat operasi git saya tidak aman dan setelah mencoba semua yang disebutkan orang di sini, saya tersadar bahwa satu kemungkinan penyebab mengapa sertifikat gagal lulus verifikasi adalah bahwa tanggalnya salah (baik tanggal kedaluwarsa sertifikat, atau lokal jam ).

Anda dapat memeriksa ini dengan mudah dengan mengetikkan dateterminal. Dalam kasus saya (raspberry Pi baru), jam lokal diatur ke tahun 1970, jadi ntpdate -u 0.ubuntu.pool.ntp.orgsemuanya mudah diperbaiki. Untuk rPi, saya juga merekomendasikan agar Anda menempatkan skrip berikut dalam pekerjaan cron harian (katakanlah /etc/cron.daily/ntpdate):

#!/bin/sh
/usr/sbin/ntpdate -u 0.ubuntu.pool.ntp.org 1> /dev/null 2>&1

Buat token akses dari Github dan simpan, karena tidak akan muncul lagi.

git -c http.sslVerify=false clone https://<username>:<token>@github.com/repo.git

atau,

git config --global http.sslVerify false
git clone https://github.com/repo.git

Saya mengalami masalah yang sama untuk mengkonfigurasi Git pada platform pengembangan kolaboratif yang harus saya kelola.

Untuk mengatasinya:

• Saya telah memperbarui rilis Curl yang diinstal di server. Unduh versi terakhir di situs web Unduh halaman curl dan ikuti proses instalasi. Proses instalasi curl

• Dapatkan kembali sertifikat otoritas yang memberikan sertifikat untuk server.

• Tambahkan sertifikat ini ke file CAcert yang digunakan oleh curl. Di server saya terletak di /etc/pki/tls/certs/ca-bundle.crt.

• Konfigurasikan git untuk menggunakan file sertifikat ini dengan mengedit file .gitconfig dan mengatur jalur sslcainfo. sslcainfo= /etc/pki/tls/certs/ca-bundle.crt

• Pada mesin klien Anda harus mendapatkan sertifikat dan mengkonfigurasi file .gitconfig juga.

Saya harap ini akan membantu beberapa dari Anda.

Saya mencoba semuanya, akhirnya saya mencari di file hosts dan ada entri acak di sana untuk github. Menghapus alias memperbaiki masalah

% systemroot% \ system32 \ drivers \ etc \ hosts

Saya cukup menonaktifkan otentikasi sertifikat SSL dan menggunakan login kata sandi nama pengguna sederhana seperti yang ditunjukkan di bawah ini

Saya membutuhkan sertifikat hanya untuk Cygwin dan git jadi saya melakukan apa yang diposting oleh @esquifit. Namun, saya harus menjalankan langkah 5 secara manual, c_rehash tidak tersedia di sistem saya. Saya mengikuti panduan ini: Menginstal Sertifikat CA ke dalam kerangka kerja OpenSSL sebagai gantinya.

Saya membutuhkan dua hal:

1. buka pengaturan cygwin dan sertakan paket ' ca-sertifikat ' (di bawah Net) (seperti yang ditunjukkan di tempat lain).

2. Beri tahu git di mana menemukan sertifikat yang dipasang:

   GIT_SSL_CAINFO = / usr / ssl / certs / ca-bundle.crt GIT_CURL_VERBOSE = 1 git ...

   (Opsi Verbose tidak diperlukan)

   Atau menyimpan opsi secara permanen:

   git config --global http.sslCAinfo /usr/ssl/certs/ca-bundle.crt

   git ...

Saya memiliki masalah yang sama. Impor sertifikat atau perintah untuk membatalkan verifikasi ssl tidak berfungsi. Ternyata kata sandi itu kedaluwarsa untuk proxy jaringan. Ada entri konfigurasi proxy. dalam file .gitconfig yang ada di profil pengguna windows saya. Saya baru saja menghapus seluruh entri dan mulai berfungsi lagi.

Pada sistem Mac OSX 10.5, saya bisa membuatnya bekerja dengan metode sederhana. Pertama, jalankan prosedur github dan tes, yang bekerja baik untuk saya, menunjukkan bahwa sertifikat saya sebenarnya baik-baik saja. https://help.github.com/articles/generating-ssh-keys

ssh -T git@github.com

Kemudian saya akhirnya memperhatikan format url lain untuk remote. Saya mencoba yang lain, di atas dan mereka tidak berhasil. http://git-scm.com/book/ch2-5.html

git@github.com:MyGithubUsername/MyRepoName.git

"Git push myRemoteName" yang sederhana berhasil dengan baik!

Saya baru-baru ini (Jul 2014) memiliki masalah yang sama dan menemukan pada OS X (10.9.4) bahwa ada sertifikat "DigiCert High Assurance EV Root CA" telah kedaluwarsa (walaupun saya juga memiliki yang belum kedaluwarsa).

1. Buka Akses Keychain
2. cari Sertifikat untuk "DigiCert"
3. Lihat menu> Tampilkan Sertifikat Kedaluwarsa

Saya menemukan dua sertifikat bernama "DigiCert High Assurance EV Root CA", satu berakhir November 2031 dan yang berakhir pada Juli 2014 (beberapa hari sebelumnya). Menghapus sertifikat yang kadaluwarsa menyelesaikan masalah untuk saya.

Semoga ini membantu.

Bagi yang menggunakan Msys / MinGW GIT, tambahkan ini

  export GIT_SSL_CAINFO=/mingw32/ssl/certs/ca-bundle.crt