मैं ssh का उपयोग करके क्लोन प्रोजेक्ट द्वारा पुश कर सकता हूं, लेकिन जब मैं https के साथ प्रोजेक्ट क्लोन करता हूं तो यह काम नहीं करता है।
त्रुटि संदेश जो मुझे दिखाता है वह है:
server certificate verification failed. CAfile: /etc/ssl/certs/cacertificates.crt CRLfile: none
जवाबों:
TLDR:
hostname=XXX
port=443
trust_cert_file_location=`curl-config --ca`
sudo bash -c "echo -n | openssl s_client -showcerts -connect $hostname:$port -servername $hostname \
2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' \
>> $trust_cert_file_location"
लंबा जवाब
मूल कारण यह है कि आपका कंप्यूटर उस सर्टिफिकेट अथॉरिटी पर भरोसा नहीं करता है , जिसने Gitlab सर्वर पर इस्तेमाल किए गए सर्टिफिकेट पर हस्ताक्षर किए हैं । इसका मतलब यह नहीं है कि प्रमाणपत्र संदेहास्पद है, लेकिन यह किसी संस्था / कंपनी द्वारा स्व-हस्ताक्षरित या हस्ताक्षरित किया जा सकता है जो आपके ओएस की सीए की सूची में नहीं है। आपके कंप्यूटर पर समस्या को दरकिनार करने के लिए आपको क्या करना है यह उस प्रमाणपत्र पर भरोसा करने के लिए कह रहा है - अगर आपके पास इसके बारे में संदेह करने का कोई कारण नहीं है।
आपको अपने gitLab सर्वर के लिए उपयोग किए जाने वाले वेब प्रमाणपत्र की जांच करने की आवश्यकता है, और इसे अपने साथ जोड़ें </git_installation_folder>/bin/curl-ca-bundle.crt।
यह जांचने के लिए कि कम से कम क्लोन ने कहा कि प्रमाण पत्र की जांच के बिना , आप सेट कर सकते हैं:
export GIT_SSL_NO_VERIFY=1
#or
git config --global http.sslverify false
लेकिन यह केवल परीक्षण के लिए होगा, जैसा कि " एसएसएल ब्राउज़र, विगेट और कर्ल के साथ काम करता है, लेकिन जीआईटी के साथ विफल रहता है " या इस ब्लॉग पोस्ट में सचित्र है ।
अपनी GitLab सेटिंग्स की जाँच करें, अंक 4272 में ।
वह प्रमाणपत्र प्राप्त करने के लिए (जिसमें आपको अपनी curl-ca-bundle.crtफ़ाइल में जोड़ना होगा ), टाइप करें:
echo -n | openssl s_client -showcerts -connect yourserver.com:YourHttpsGitlabPort \
2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'
(' yourserver.com' आपके GitLab सर्वर का नाम होने के साथ , और YourHttpsGitlabPortआमतौर पर https पोर्ट है 443)
CA (प्रमाणपत्र प्राधिकरण जारीकर्ता) की जाँच करने के लिए, एक टाइप करें:
echo -n | openssl s_client -showcerts -connect yourserver.com:YourHttpsGilabPort \
2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' \
| openssl x509 -noout -text | grep "CA Issuers" | head -1
नोट: वेलेरी कटकोव ने ओपनसेल कमांड में विकल्प जोड़ने के लिए टिप्पणियों में सुझाव -servernameदिया है, अन्यथा वेलेरी के मामले में कमांड को www.github.com के लिए प्रमाण पत्र नहीं दिखाया गया है।
openssl s_client -showcerts -servername www.github.com -connect www.github.com:443
Findekano टिप्पणियों में जोड़ता है :
के स्थान की पहचान करने के लिए
curl-ca-bundle.crt, आप कमांड का उपयोग कर सकते हैं
curl-config --ca
इसके अलावा, मेरे और हालिया उत्तर " github: सर्वर प्रमाणपत्र सत्यापन विफल " देखें: आपको उन प्रमाणपत्रों का नाम बदलना पड़ सकता है:
sudo apt-get install --reinstall ca-certificates
sudo mkdir /usr/local/share/ca-certificates/cacert.org
sudo wget -P /usr/local/share/ca-certificates/cacert.org http://www.cacert.org/certs/root.crt http://www.cacert.org/certs/class3.crt
sudo update-ca-certificates
git config --global http.sslCAinfo /etc/ssl/certs/ca-certificates.crt
which git।
curl-config --ca, लेकिन कुछ भी नहीं लौटाया गया।
नोट: इसके प्रमुख सुरक्षा निहितार्थ हैं।
अपना टर्मिनल खोलें और निम्न आदेश चलाएँ:
export GIT_SSL_NO_VERIFY=1
यह मेरे लिए काम करता है और मैं लिनक्स सिस्टम का उपयोग कर रहा हूं।
git config --global http.sslverify false
इस समस्या का एक और कारण यह हो सकता है कि आपकी घड़ी बंद हो सकती है। प्रमाणपत्र समय के प्रति संवेदनशील हैं।
वर्तमान सिस्टम समय की जांच करने के लिए:
date -R
आप एनटीपी को वैश्विक एनटीपी पूल से विश्वसनीय इंटरनेट टाइमवेर्स के साथ सिस्टम समय को स्वचालित रूप से सिंक करने के लिए स्थापित करने पर विचार कर सकते हैं । उदाहरण के लिए, डेबियन / उबंटू पर स्थापित करने के लिए:
apt-get install ntp
gitप्रति कहना नहीं है , यह अंतर्निहित एसएसएल एक्सचेंज है। Git SSL सपोर्ट के साथ बनाया गया है।
यदि आप एक निजी नेटवर्क के अंदर एक git सर्वर का उपयोग कर रहे हैं और एक स्व-हस्ताक्षरित प्रमाण पत्र या एक IP पते पर एक प्रमाण पत्र का उपयोग कर रहे हैं; आप ssl जाँच को निष्क्रिय करने के लिए बस git ग्लोबल कॉन्फिग का उपयोग कर सकते हैं:
git config --global http.sslverify "false"
एक ही समस्या थी। स्व जारी प्रमाण पत्र प्राधिकारी द्वारा कारण। .Pem फ़ाइल को / usr / स्थानीय / शेयर / सीए-प्रमाणपत्र / और कॉल में जोड़कर इसे हल किया
sudo update-ca-certificates
PS: pem फाइल फोल्डर में ./share/ca-certports MUST में एक्सटेंशन .crt है
अपने सिस्टम की घड़ी देखें,
$ date
यदि यह सही नहीं है तो प्रमाणपत्र की जांच विफल हो जाएगी। सिस्टम क्लॉक को सही करने के लिए,
$ apt-get install ntp
घड़ी को खुद को सिंक्रनाइज़ करना चाहिए।
अंत में फिर से क्लोन कमांड दर्ज करें।
GIT_CURL_VERBOSE=1 git [clone|fetch]…
आपको बताना चाहिए कि समस्या कहां है। मेरे मामले में यह NSS के खिलाफ निर्मित होने पर PEM प्रमाणपत्रों का समर्थन नहीं करने के कारण था, उस समर्थन के कारण NSS ( # 726116 # 804215 # 402712 और अधिक ) में मेनलाइन नहीं था ।
GIT_CURL_VERBOSE। मैंने अपने उत्तर में इसका उल्लेख नहीं किया। +1
या सर्वर सर्टिफिकेट को अपने डेटाबेस में जोड़ने के लिए बस यह टिप्पणी चलाएं:
echo $(echo -n | openssl s_client -showcerts -connect yourserver.com:YourHttpGilabPort 2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p') >> /etc/ssl/certs/ca-certificates.crtफिर फिर से क्लोन क्लोन करें।
मैंने अपनी सीए फाइलों के साथ गड़बड़ कर दी, जबकि मैंने गुगली प्रॉक्सी को सेटअप किया। गिटहब से डेटा नहीं खींच सकते, और एक ही चेतावनी प्राप्त कर सकते हैं:
सर्वर प्रमाणपत्र सत्यापन विफल। CAfile: /etc/ssl/certs/ca-certports.crt CRLfile: कोई नहीं
वॉनक की विधि का उपयोग करें, जीथब से प्रमाण पत्र प्राप्त करें, और इसे /etc/ssl/certs/ca-certports.crt में डालें, समस्या हल हो गई।
इको-एन | Opensl s_client -showcerts -connect github.com:443 2> / dev / null | sed -ne '/ -BEGIN CERTIFICATE - /, / - END प्रमाण पत्र- / p'
झूठी सेट करने के लिए git ssl सत्यापन सेट करने की कोई आवश्यकता नहीं है। यह तब होता है जब सिस्टम के पास सभी CA प्राधिकरण प्रमाणपत्र नहीं होते हैं। ज्यादातर लोग जिनके पास वास्तविक एसएसएल सर्टिफिकेट है, वे इंटरमीडिएट सर्टिफिकेट को मिस कर रहे हैं।
सिर्फ इंटरमीडिएट सर्टिफिकेट (गुम सीए और इंटरमीडिएट सर्टिफिकेट की पूरी श्रृंखला) का पूरा पाठ जोड़ना
sudo gedit /etc/ssl/certs/ca-certificates.crt
बिना चलाए काम करता है update-ca-certificates ।
वही मैन्युअल रूप से जेनरेट किए गए प्रमाणपत्रों के लिए जाता है, बस CA प्रमाणपत्र पाठ जोड़ें।
अंत में: सफल पुश: सब कुछ अप-टू-डेट है
टर्मिनल में इस समस्या को हल करने के लिए मैंने क्या किया (Ubuntu 18.04):
openssl s_client -showcerts -servername www.github.com -connect www.github.com:443
मुझे सर्टिफिकेट के दो हिस्से मिले। और मैंने अपने सर्टिफिकेट फाइल में सर्टिफिकेट चंक्स कॉपी किया /etc/ssl/certs/ca-certificates.crt।
---BEGIN CERTIFICATE---और ब्लॉक --- END CERTIFICATE ---?
मैंने एक रास्पबेरी पी 2 पर ज़ुबंटू को स्थापित किया, समय के साथ एक ही मुद्दा मिला, क्योंकि एनटीपी और स्वचालित सर्वर सिंक बंद था (या स्थापित नहीं था)। NTP जाओ
sudo apt-get install ntp
और "समय और दिनांक" को "मैनुअल" से "इंटरनेट सर्वर के साथ सिंक्रनाइज़ रखें" में बदलें
आखिरकार, अपने .it / config में http.sslverify जोड़ें।
[core]
repositoryformatversion = 0
filemode = true
bare = false
logallrefupdates = true
[remote "origin"]
url = https://server/user/project.git
fetch = +refs/heads/*:refs/remotes/origin/*
[branch "master"]
remote = origin
merge = refs/heads/master
[http]
sslVerify = false
git config http.sslVerify false। क्या आप प्रति-रिपॉजिटरी आधार पर Git config को संपादित करने का सुझाव दे रहे हैं, न कि विश्व स्तर पर @ romain-vdk द्वारा सुझाए गए अनुसार?
पहली चीज़ जो आपको जांचनी चाहिए, वह है फ़ाइल अनुमति /etc/sslऔर /etc/ssl/certs।
मैंने अपने प्रमाणपत्र प्राधिकरण प्रबंधन उपकरण पर काम करते समय समूह के नाम / आईडी rm -rf /etc/ssl/*का उपयोग करते समय फ़ाइल अनुमतियों को हटाने (या एसएसएल निर्देशिकाओं को उड़ाने ) की गलती की ।ssl-cert
यह तब था जब मैंने wgetऔर curlCLI ब्राउज़र टूल के लिए सटीक त्रुटि संदेश देखा था :
server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none
एक बार जब मैं /etc/sslऔर /etc/ssl/certनिर्देशिका की फ़ाइल अनुमति ले आया o+rx-w, तो उन सीएलआई ब्राउज़र टूल्स ने थोड़ी आसानी से सांस लेना शुरू कर दिया:
mkdir -p /etc/ssl/certs
chmod u+rwx,go+rx /etc/ssl /etc/ssl/certs
मुझे जावा उपनिर्देशिका को फिर से बनाना पड़ा और ट्रस्टेड सीए प्रमाणपत्र निर्देशिकाओं का पुनर्निर्माण करना पड़ा:
mkdir /etc/ssl/certs/java
chmod u+rwx,go+rx /etc/ssl/certs/java
update-ca-certificates
और तट साफ था।
मुझे सिर्फ एक गिट रिपॉजिटरी के साथ एक ही समस्या का सामना करना पड़ा जो हमेशा मेरे लिए काम करती है। समस्या यह थी कि मैंने इसे सार्वजनिक वाईफाई एक्सेस के माध्यम से एक्सेस किया, जो पहले कनेक्शन पर एक कैप्टिव पोर्टल पर रीडायरेक्ट करता है (उदाहरण के लिए विज्ञापन दिखाने और tos से सहमत होने के लिए)।
curl-config --caवापस आ गया/etc/ssl/certs/ca-certificates.crt, जो मुझे प्रमाण पत्र जोड़ना था। इसके अलावा यह जवाब इस मुद्दे के साथ मुझे सही दिशा में इंगित करने वाली पहली जानकारी थी