Используя Git, есть ли способ заставить его принять самозаверяющий сертификат?

Я использую сервер https для размещения сервера git, но на данный момент сертификат самоподписан.

Когда я впервые пытаюсь создать там репо:

git push origin master -f

Я получаю ошибку:

error: Cannot access URL     
https://the server/git.aspx/PocketReferences/, return code 22

fatal: git-http-push failed

Постоянно принимать определенный сертификат

Попробуйте http.sslCAPathили http.sslCAInfo. Ответ Адама Спирса дает несколько замечательных примеров. Это самое безопасное решение вопроса.

Чтобы отключить проверку TLS / SSL для одной команды git

попробуйте перейти -cк gitправильной переменной config или используйте ответ Flow :

git -c http.sslVerify=false clone https://example.com/path/to/git

Чтобы отключить проверку SSL для определенного репозитория

Если хранилище полностью находится под вашим контролем, вы можете попробовать:

git config --global http.sslVerify false

Есть довольно много вариантов конфигурации SSL в git. Со страницы руководства git config:

http.sslVerify
    Whether to verify the SSL certificate when fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_NO_VERIFY environment variable.

http.sslCAInfo
    File containing the certificates to verify the peer with when fetching or pushing
    over HTTPS. Can be overridden by the GIT_SSL_CAINFO environment variable.

http.sslCAPath
    Path containing files with the CA certificates to verify the peer with when
    fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_CAPATH environment variable.

Несколько других полезных опций конфигурации SSL:

http.sslCert
    File containing the SSL certificate when fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_CERT environment variable.

http.sslKey
    File containing the SSL private key when fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_KEY environment variable.

http.sslCertPasswordProtected
    Enable git's password prompt for the SSL certificate. Otherwise OpenSSL will
    prompt the user, possibly many times, if the certificate or private key is encrypted.
    Can be overridden by the GIT_SSL_CERT_PASSWORD_PROTECTED environment variable.

Вы можете установить GIT_SSL_NO_VERIFYна true:

GIT_SSL_NO_VERIFY=true git clone https://example.com/path/to/git

или альтернативно настройте Git, чтобы он не проверял соединение в командной строке:

git -c http.sslVerify=false clone https://example.com/path/to/git

Обратите внимание, что если вы не проверяете сертификаты SSL / TLS, то вы подвержены атакам MitM .

Я не большой поклонник [РЕДАКТИРОВАТЬ: оригинальные версии] существующих ответов, потому что отключение проверок безопасности должно быть последним средством, а не первым предлагаемым решением. Даже если вы не можете доверять самозаверяющим сертификатам при первом получении без какого-либо дополнительного метода проверки, использование сертификата для последующих gitопераций, по крайней мере, значительно усложняет жизнь атакам, которые происходят только после загрузки сертификата. Другими словами, если сертификат, который вы скачали, является подлинным, то с этого момента вы хороши. Напротив, если вы просто отключите проверку, то вы будете широко открыты для любой атаки «человек посередине» в любой точке .

Для конкретного примера: известный repo.or.czрепозиторий предоставляет самозаверяющий сертификат . Я могу скачать этот файл, поместить его где-то вроде /etc/ssl/certs, а затем сделать:

# Initial clone
GIT_SSL_CAINFO=/etc/ssl/certs/rorcz_root_cert.pem \
    git clone https://repo.or.cz/org-mode.git

# Ensure all future interactions with origin remote also work
cd org-mode
git config http.sslCAInfo /etc/ssl/certs/rorcz_root_cert.pem

Обратите внимание, что использование локального git configздесь (то есть без --global) означает, что этот самозаверяющий сертификат является доверенным только для этого конкретного репозитория, что хорошо. Это также приятнее, чем использование, GIT_SSL_CAPATHпоскольку устраняет риск gitвыполнения проверки через другой центр сертификации, который потенциально может быть скомпрометирован.

Git Конфигурация подписанного сертификата

ТЛ; др

НИКОГДА не отключайте все проверки SSL!

Это создает плохую культуру безопасности. Не будь таким человеком.

Ключи конфигурации, которые вы ищете:

• http.sslverify- Всегда правда. Смотри примечание выше.

Это для настройки сертификатов хоста, которым вы доверяете

• http.sslCAPath
• http.sslCAInfo

Они предназначены для настройки ВАШЕГО сертификата для ответа на вызовы SSL.

• http.sslCert
• http.sslCertPasswordProtected

Выборочно применить вышеуказанные настройки к конкретным хостам.

• http.<url>.*

Global .gitconfigдля самоподписанных центров сертификации

Ради меня и моих коллег здесь показано, как нам удалось заставить самозаверяющие сертификаты работать без отключения sslVerify. Отредактируйте,.gitconfig чтобы использовать git config --global -eдобавить эти:

# Specify the scheme and host as a 'context' that only these settings apply
# Must use Git v1.8.5+ for these contexts to work
[credential "https://your.domain.com"]
  username = user.name

  # Uncomment the credential helper that applies to your platform
  # Windows
  # helper = manager

  # OSX
  # helper = osxkeychain

  # Linux (in-memory credential helper)
  # helper = cache

  # Linux (permanent storage credential helper)
  # https://askubuntu.com/a/776335/491772

# Specify the scheme and host as a 'context' that only these settings apply 
# Must use Git v1.8.5+ for these contexts to work
[http "https://your.domain.com"]
  ##################################
  # Self Signed Server Certificate #
  ##################################

  # MUST be PEM format
  # Some situations require both the CAPath AND CAInfo 
  sslCAInfo = /path/to/selfCA/self-signed-certificate.crt
  sslCAPath = /path/to/selfCA/
  sslVerify = true

  ###########################################
  # Private Key and Certificate information #
  ###########################################

  # Must be PEM format and include BEGIN CERTIFICATE / END CERTIFICATE, 
  # not just the BEGIN PRIVATE KEY / END PRIVATE KEY for Git to recognise it.
  sslCert = /path/to/privatekey/myprivatecert.pem

  # Even if your PEM file is password protected, set this to false.
  # Setting this to true always asks for a password even if you don't have one.
  # When you do have a password, even with this set to false it will prompt anyhow. 
  sslCertPasswordProtected = 0

Ссылки:

• Git Credentials
• Git Credential Store
• Использование Gnome Keyring в качестве хранилища учетных данных
• Git Config http. <Url>. * Поддерживается в Git v1.8.5

Укажите config когда git clone-ing

Если вам нужно применить его для каждого репо, в документации сказано, что вы должны просто запустить его git config --localв своем репо-каталоге. Ну, это бесполезно, если вы еще не клонировали репо локально, не так ли?

Вы можете сделать global -> localhokey-pokey, установив вашу глобальную конфигурацию, как указано выше, а затем скопировать эти настройки в вашу локальную конфигурацию репо, как только она клонируется ...

ИЛИ что вы можете сделать, это указать команды config,git clone которые будут применены к целевому репо после его клонирования.

# Declare variables to make clone command less verbose     
OUR_CA_PATH=/path/to/selfCA/
OUR_CA_FILE=$OUR_CA_PATH/self-signed-certificate.crt
MY_PEM_FILE=/path/to/privatekey/myprivatecert.pem
SELF_SIGN_CONFIG="-c http.sslCAPath=$OUR_CA_PATH -c http.sslCAInfo=$OUR_CA_FILE -c http.sslVerify=1 -c http.sslCert=$MY_PEM_FILE -c http.sslCertPasswordProtected=0"

# With this environment variable defined it makes subsequent clones easier if you need to pull down multiple repos.
git clone $SELF_SIGN_CONFIG https://mygit.server.com/projects/myproject.git myproject/

Один лайнер

РЕДАКТИРОВАТЬ: см. Ответ VonC , который указывает на предостережение об абсолютных и относительных путях для конкретных версий git от 2.14.x / 2.15 до этого одного лайнера

git clone -c http.sslCAPath="/path/to/selfCA" -c http.sslCAInfo="/path/to/selfCA/self-signed-certificate.crt" -c http.sslVerify=1 -c http.sslCert="/path/to/privatekey/myprivatecert.pem" -c http.sslCertPasswordProtected=0 https://mygit.server.com/projects/myproject.git myproject/

CentOS unable to load client key

Если вы пытаетесь это сделать на CentOS, и ваш .pemфайл дает вам

unable to load client key: "-8178 (SEC_ERROR_BAD_KEY)"

Тогда вам понадобится ответ StackOverflow о том, как curlиспользовать NSS вместо Open SSL.

И вы хотите, чтобы восстановить curlиз источника :

git clone http://github.com/curl/curl.git curl/
cd curl/
# Need these for ./buildconf
yum install autoconf automake libtool m4 nroff perl -y
#Need these for ./configure
yum install openssl-devel openldap-devel libssh2-devel -y

./buildconf
su # Switch to super user to install into /usr/bin/curl
./configure --with-openssl --with-ldap --with-libssh2 --prefix=/usr/
make
make install

перезагрузите компьютер, так как libcurl все еще находится в памяти как общая библиотека

Питон, Пип и Конда

Связанный : Как добавить пользовательский корневой сертификат CA в CA Store, используемый pip в Windows?

Я постоянно сталкиваюсь с этой проблемой, поэтому написал сценарий для загрузки самозаверяющего сертификата с сервера и установки его в ~ / .gitcerts, а затем обновил git-config, чтобы он указывал на эти сертификаты. Он хранится в глобальном конфиге, поэтому его нужно запускать только один раз для каждого пульта.

https://github.com/iwonbigbro/tools/blob/master/bin/git-remote-install-cert.sh

Этот ответ взят из этой статьи, автором которой является Майкл Кауфман.

Используйте Git для Windows с корпоративным сертификатом SSL

Выпуск :

Если у вас есть корпоративный сертификат SSL и вы хотите клонировать репозиторий из консоли или VSCode, вы получите следующую ошибку:

fatal: невозможно получить доступ к https: // myserver / tfs / DefaultCollection / _git / Proj / ': проблема с сертификатом SSL: невозможно получить сертификат локального эмитента

Решение :

1. Экспортируйте корневой самозаверяющий сертификат в файл. Вы можете сделать это из вашего браузера.

2. Найдите файл «ca-bundle.crt» в вашей папке git (текущая версия C: \ Program Files \ Git \ usr \ ssl \ certs, но она изменилась в прошлом). Скопируйте файл в свой профиль пользователя. Откройте его в текстовом редакторе, таком как VSCode, и добавьте содержимое экспортированного сертификата в конец файла.

Теперь нам нужно настроить git для использования нового файла:

git config --global http.sslCAInfo C:/Users/<yourname>/ca-bundle.crt

Это добавит следующую запись в ваш файл .gitconfig в корне вашего профиля пользователя.

[http] sslCAInfo = C:/Users/<yourname>/ca-bundle.crt

Отключение проверки SSL для определенного хранилища. Если хранилище полностью находится под вашим контролем, вы можете попробовать:

 git config --global http.sslVerify false

Будьте осторожны , когда вы используете один вкладыш с использованием sslKey или sslCert, как Джош Пик «S ответ :

git clone -c http.sslCAPath="/path/to/selfCA" \
  -c http.sslCAInfo="/path/to/selfCA/self-signed-certificate.crt" \
  -c http.sslVerify=1 \
  -c http.sslCert="/path/to/privatekey/myprivatecert.pem" \
  -c http.sslCertPasswordProtected=0 \
https://mygit.server.com/projects/myproject.git myproject

Только Git 2.14.x / 2.15 (3 квартал 2015 г.) сможет интерпретировать путь как ~username/mykeyправильно (хотя он все еще может интерпретировать абсолютный путь как /path/to/privatekey).

См. Коммит 8d15496 (20 июля 2017 г.) от Junio ​​C Hamano ( gitster) .
Помогает: Чарльз Бейли ( hashpling) .
^{(Слиты Junio C Hamano - gitster- в фиксации 17b1e1d , 11 августа 2017)}

http.c: http.sslcertи http.sslkeyоба пути

Назад, когда был создан современный код пути http_options () для анализа различных параметров http. * По адресу 29508e1 («Изолировать функцию общего HTTP-запроса», 2005-11-18, Git 0.99.9k), а затем был исправлен для взаимодействия между несколькими Конфигурационные файлы в 7059cd9 (" http_init(): Исправить синтаксический анализ конфигурационного файла", 2009-03-09, Git 1.6.3-rc0), мы проанализировали конфигурационные переменные http.sslkey, http.sslcertкак простые ванильные строки, потому git_config_pathname()что это понимает, что ~[username]/префикс " " не существует.

Позже мы преобразовали некоторые из них (а именно, http.sslCAPathи http.sslCAInfo) для использования функции, и добавили переменные, такие как http.cookeyFile http.pinnedpubkeyиспользование функции с самого начала. Из-за этого все эти переменные понимают ~[username]/префикс " ".

Сделайте оставшиеся две переменные, http.sslcertа http.sslkeyтакже помните о соглашении, так как они оба являются явно путями к файлам.

Используя 64-битную версию Git для Windows, просто добавьте самоподписанный сертификат CA в эти файлы:

• C: \ Program Files \ Git \ mingw64 \ ssl \ certs \ ca-bundle.crt
• C: \ Program Files \ Git \ mingw64 \ ssl \ certs \ ca-bundle.trust.crt

Если это просто самозаверяющий сертификат сервера, добавьте его в

• C: \ Program Files \ Git \ mingw64 \ ssl \ cert.pem

Проверьте настройки антивируса и брандмауэра.

От одного дня до другого, git больше не работал. С помощью описанного выше я обнаружил, что Kaspersky помещает самоподписанный антивирусный личный корневой сертификат в середину. Мне не удалось позволить Git принять этот сертификат, следуя инструкциям выше. Я отказался от этого. Что работает для меня, так это отключить функцию сканирования зашифрованных соединений.

1. Открой Касперского
2. Настройки> Дополнительно> Сеть> Не проверять зашифрованные соединения

После этого git снова работает с включенным sslVerify.

Запись. Это все еще не удовлетворяет меня, потому что я хотел бы, чтобы эта функция моего Антивируса была активной. В расширенных настройках Kaspersky показывает список сайтов, которые не будут работать с этой функцией. Github не указан как один из них. Я проверю это на форуме Касперского. Кажется, есть некоторые темы, например, https://forum.kaspersky.com/index.php?/topic/395220-kis-interfering-with-git/&tab=comments#comment-2801211

В файле .gitconfig вы можете добавить указанное ниже значение, чтобы сделать самоподписанный сертификат приемлемым.

sslCAInfo = /home/XXXX/abc.crt

Я делаю это так:

git init
git config --global http.sslVerify false
git clone https://myurl/myrepo.git

На Windows это работало для меня:

Добавьте содержимое вашего собственного подписанного сертификата в конец файла ca-bundle . Включая ----- НАЧАТЬ СЕРТИФИКАТ ----- и ----- КОНЕЦ СЕРТИФИКАТА ----- строки

Расположение файла ca-bundle обычно C: \ Program Files \ Git \ mingw64 \ ssl \ certs

Затем добавьте путь к файлу ca-bundle в глобальный git config. Следующая команда делает трюк:git config --global http.sslCAInfo "C:/Program Files/Git/mingw64/ssl/certs/ca-bundle.crt"

Примечание: Путь зависит от вашего локального пути к файлу ca-bundle!

Я использую машину Windows, и эта статья помогла мне. В основном я открыл ca-bundle.crt в блокноте и добавил цепные сертификаты в него (все они). Эта проблема обычно возникает в сетях компаний, где у нас посредники сидят между системой и git-репо. Нам нужно экспортировать все сертификаты в цепочке сертификатов, кроме листового сертификата в формате base 64, добавить их все в ca-bundle.crt и затем настроить git для этого модифицированного файла crt.

Не рекомендуется устанавливать http.sslVerify false. Вместо этого мы можем использовать сертификат SSL.

Таким образом, агент сборки будет использовать https с SSL-сертификатом и PAT для аутентификации.

Скопируйте содержимое файла cer, включая –begin — и –end--.

git bash on build agent => git config –global http.sslcainfo «C: / Program Files / Git / mingw64 / ssl / certs / ca-bundle.crt» Перейдите к этому файлу и добавьте содержимое .cer.

Таким образом, агент сборки может получить доступ к SSL-сертификату.

Мой ответ может быть поздно, но это сработало для меня. Это может кому-то помочь.

Я попробовал вышеупомянутые шаги, и это не решило проблему.

попробуй этоgit config --global http.sslVerify false