Як встановити сертифікати для командного рядка

Тож у школі нам потрібно встановити сертифікат для доступу до https-сайтів. У Firefox я можу імпортувати сертифікат. Однак я не можу зробити це з командним рядком. Наприклад, бігаючи, git pushя отримую:

fatal: unable to access 'https://github.com/user/repo': server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none

Як імпортувати сертифікат, щоб видалити це? Імпорт повинен бути в змозі для мене автентифікувати. Крім того, це .cerфайл, тому відповідь за .crtце не буде працювати. Крім того, я не хочу кроків щодо налаштування git, як я вже маю. Я хочу знати, чи можна це зробити. Або я можу просто відключити автентифікацію з gitкомандою і змусити її ігнорувати сертифікати, як сказано у відповіді ? Крім того, я не хочу завантажувати веб-сторінку, я встановив firefox для цього. Я хочу, щоб git pushкоманда давала стандартний вихід на зразок:

[master 630d087] message
 1 file changed, 93 insertions(+), 80 deletions(-)
 rewrite somefile (84%)
Counting objects: 9, done.
Delta compression using up to 4 threads.
Compressing objects: 100% (4/4), done.
Writing objects: 100% (5/5), 978 bytes | 0 bytes/s, done.
Total 5 (delta 2), reused 0 (delta 0)
To https://github.com/User/Repo.git
   851ae39..630d087  master -> master

Примітка: я дізнався його git config --global http.sslverify false. Але я хотів би побачити відповідь на все, а не лише на git hack

TL; DR

Щоб все працювало і не лише ваш браузер, вам потрібно додати цей сертифікат CA до надійного сховища системи системи.

У ubuntu:

• Перейдіть на / usr / local / share / ca-сертифікати /
• Створіть нову папку, тобто "sudo mkdir school"
• Скопіюйте файл .crt у шкільну папку
• Переконайтеся, що дозволи дозволені (755 для папки, 644 для файлу)
• Запустити "sudo update-ca-сертифікати"

Чому?

Дозвольте мені пояснити, що відбувається також, тому інші афіші бачать, чому їм не потрібен сертифікат для використання Github через HTTPS.

Що там відбувається, це те, що ваша школа перехоплює всі комунікації SSL, ймовірно, для того, щоб контролювати їх.

Для цього те, що вони роблять, - це, по суті, атака "людина в середині", і через це ваш браузер справедливо скаржиться, що він не в змозі перевірити сертифікат github. Ваш шкільний проксі виймає certh github і натомість надає свою власну cert.

Коли ваш веб-переглядач намагається перевірити наданий школою сертифікат проти CA, який підписав certh github, він справедливо не працює.

Отже, для того, щоб з'єднання SSL працювало в школі, потрібно свідомо прийняти ту атаку "MITM". І ви робите це, додаючи сертифікат сертифіката школи як довірений.

Якщо ви довіряєте цьому шкільному адміністратору, ваша перевірка фальшивого цертву github спрацює, оскільки фальшива церта github буде перевірена шкільною службою CA.

Майте на увазі, що з'єднання SSL вже не є безпечним, оскільки адміністратор школи зможе перехопити всі ваші зашифровані з'єднання.

У ca-certificatesпакеті є інструкція README.Debian:

Якщо ви хочете встановити місцева влада сертифікатів неявним довіреною, будь ласка , помістіть файли сертифікатів в вигляді окремих файлів , що закінчуються .crtINTO /usr/local/share/ca-certificates/і повторного запуску update-ca-certificates.

Зауважте, що тут згадується каталог, відмінний від інших відповідей тут:

/usr/local/share/ca-certificates/

Після копіювання у /usr/local/share/ca-certificates/вас можна оновити дозволи cert та запустити, sudo update-ca-certificatesяк зазначено у відповіді Telegraphers. Ви побачите у висновку, що додано cert.

Розширення .crt, .pem та .cer є взаємозамінними, просто змініть розширення імені файлу, вони мають однакову форму. Спробуйте це:

$ sudo cp mycert.cer /usr/share/ca-certificates/mycert.pem
$ sudo dpkg-reconfigure ca-certificates
$ sudo update-ca-certificates
$ git config --global http.sslCAInfo /usr/share/ca-certificates/mycert.pem

Я використовую таку збірку попередніх відповідей:

sudo -i
echo | openssl s_client -showcerts -servername site.example.com -connect example.com:443 2>/dev/null | awk '/-----BEGIN CERTIFICATE-----/, /-----END CERTIFICATE-----/' >> /usr/local/share/ca-certificates/ca-certificates.crt 
update-ca-certificates

Він може бути модифікований, щоб бути однолінійним.

Часто обидва site.example.comі example.comє однаковими іменами хостів.

Я прочитав усі рішення і вирішив так;

sudo openssl x509 -inform DER -in certificate.cer -out certificate.crt

sudo mv certificate.crt /usr/share/ca-certificate/

cd /usr/share/ca-certificate

sudo chmod 644 certificate.crt

sudo dpkg-reconfigure ca-certificates

sudo update-ca-certificates

У мене була подібна проблема, коли встановлено сертифікат у firefox та google chrome, але оновлення в терміналі sudo apt-get updateне працювало, і 403 заборонені помилки IP. У мене теж був файл sample.cer. Тому в основному я повинен перетворити його в .crt спочатку.

sudo openssl x509 -inform DER -in sample.cer -out sample.crt

Але під час роботи sudo dpkg-reconfigure ca-certificatesя не зміг знайти необхідний сертифікат. Проблема зі мною полягає в тому, що я копіював сертифікат у неправильному місці.

Замість того, щоб скопіювати його, $/usr/share/ca-certificates я скопіював його на $/usr/local/share/ca-certificates Але, розмістивши його в потрібному місці, вирішив мою проблему. Але я все ще не в змозі оновити пакунки або встановити нові пакети.

Швидке виправлення (для мене):

Використання ftp замість http

sudo sed -i s/http/ftp/ /etc/apt/sources.list && apt-get update

і вище команда працювала. Будь ласка, зробіть копію файла source.list перед тим, як внести зміни.

Якщо щось не зрозуміло або невірно, будь ласка, виправте мене.

Для доступу до веб-сайту https, використовуючи браузер CLI або GUI, вам не потрібен сертифікат shool.

Для використання gitчерез http (и) вам потрібно зареєструвати ваш відкритий ключ у налаштуваннях вашого профілю на GitHub .

Більше інформації тут . Змініть свій профіль GitHub тут .

Спробуйте це:

sudo apt-get install w3m
w3m https://github.com/

… Працює без додаткового сертифіката.