Як виправити завиток: (60) Сертифікат SSL: Недійсний ланцюжок сертифікатів при використанні sudo

Отже, оскільки у Mavericks з оновленням curl виникає більше проблем із сертифікатами.

При спробі згортання файлу з мого веб-сервера з його самопідписаним сертифікатом з'явилася помилка "SSL Certificate: Недійсний ланцюжок сертифікатів".

Це було виправлено, додавши сертифікат до мого системного брелока та встановивши його завжди дозволяти SSL, інформацію, яку я знайшов тут і тут .

Це прекрасно працює, і коли я згортаю файл, він завантажується належним чином.

Однак якщо я раніше запускаю curl з sudo (наприклад, у мене є сценарій, який потрібно запускати з sudo і робить у ньому завиток), я повертаюся до того ж повідомлення про помилку.

Я здогадуюсь, що root, можливо, не читає з системного брелока?

Хтось знає спосіб виправити це?

f, якщо ви зберігаєте свої сертифікати CA у файловій системі (у форматі PEM), ви можете сказати curl, щоб ними користуватися

sudo curl --cacert /path/to/cacert.pem ...

Ви також можете вимкнути перевірку сертифікату за допомогою

sudo curl --insecure ...

Редагувати: оновлено стосовно відгуків

Якщо ви хочете встановити це постійно, вам слід створити .curlrcфайли та розмістити їх у домашньому каталозі. sudoКоманди, можливо, знадобляться у цьому файлі /var/root. Файл має ті самі параметри, що й командний рядок, але без тире. Один варіант на рядок:

cacert=/path/to/my/certs.pem

Корінь не зчитується з поточних налаштувань довіри користувачів, але є як налаштування довіри адміністратора, так і налаштування довіри для користувача root. (Вони також відрізняються від системних налаштувань довіри.) Зауважте також, що налаштування довіри сертифікатів дещо відрізняються від простого додавання сертифіката до брелка; ви можете позначити cert як надійний, не додаючи його повністю. (Точна ситуація тут мені незрозуміла, а документи, яких я бачив, є невиразними.)

Ви можете позначити cert як надійного для вашого поточного користувача

$ security add-trusted-cert /path/to/cert.pem

але це не допомагає корінню. Рішення, як ви вже зараз здогадуєтесь, є або sudoвищезгаданим, яке потім позначає його як довіреного користувачу root, зокрема:

$ sudo security add-trusted-cert /path/to/cert.pem

або використовувати -dпрапор, щоб додати його до налаштувань довіри адміністратора:

$ security add-trusted-cert -d /path/to/cert.pem

(OS X з'явиться діалогове вікно паролів для підтвердження цього.)

Будь-яке з двох останніх видається достатнім для sudo curl.

Довідка: https://developer.apple.com/library/mac/Documentation/Darwin/Reference/ManPages/man1/security.1.html

Це дійсно в підказі про вихід:

echo insecure >> ~/.curlrc

Перевагою використання вищевказаного рішення є те, що він працює для всіх curlкоманд, але він не рекомендується, оскільки він може вводити MITM-атаки шляхом підключення до незахищених та ненадійних хостів.

Якщо ви використовуєте MacPorts (а згаданий вами сторонній скрипт не видаляє його $PATHі не дзвонить /usr/bin/curl), ви можете встановити certsyncі curlпорти в цьому порядку.

certsyncце інструмент та відповідний запущений пліст, який експортує ваш системний брелок до $prefix/etc/openssl/cert.pemта встановить $prefix/share/curl/curl-ca-bundle.crt -> $prefix/etc/openssl/cert.pemсимпосилання, щоб MacPorts curl автоматично забрав сертифікати. certsyncтакож автоматично оновлює створені файли при зміні системного брелока.

Ви шукаєте документацію тут. Він пояснює, як використовувати CURL на Mavericks та як надати свої сертифікати: http://curl.haxx.se/mail/archive-2013-10/0036.html

Щоб зробити sudo curlроботу (на OSX Sierra), нам довелося імпортувати сертифікат у System.keychainта довірити його там. Це можна зробити вручну в додатку Keychain або за допомогою цієї команди:

sudo security add-trusted-cert -d -k /Library/Keychains/System.keychain /path/to/cert.pem

Важливо було і вказати, -dі вручну встановити шлях до системного брелока, -kщоб переконатися, що сертифікат дійсно імпортується туди, якщо його ще немає.

Команда працює без sudo, але потім запитає пароль через діалогове вікно інтерфейсу, що може бути перешкодою для сценаріїв.