Как исправить curl: (60) SSL-сертификат: неверная цепочка сертификатов при использовании sudo

Таким образом, поскольку у обновления Mavericks есть больше проблем с сертификатами.

При попытке свернуть файл с моего веб-сервера с помощью его самозаверяющего сертификата он получал сообщение об ошибке «Сертификат SSL: недопустимая цепочка сертификатов».

Это было исправлено путем добавления сертификата в мою системную цепочку для ключей и установки его для разрешения SSL, информация, которую я нашел здесь и здесь .

Это работает нормально, и когда я заворачиваю файл, он загружается правильно.

Однако, если я запускаю curl с помощью sudo (например, у меня есть скрипт, который нужно запустить с помощью sudo и выполняет в нем curl), то я возвращаюсь к тому же сообщению об ошибке.

Я предполагаю, что root не читает из системной цепочки для ключей, возможно?

Кто-нибудь знает способ это исправить?

если вы храните сертификаты CA в файловой системе (в формате PEM), вы можете указать curl использовать их с

sudo curl --cacert /path/to/cacert.pem ...

Вы также можете отключить проверку сертификата с помощью

sudo curl --insecure ...

Изменить: Обновлено с учетом обратной связи

Если вы хотите установить это навсегда, вы должны создать .curlrcфайлы и поместить их в свой домашний каталог. sudoКоманды могут нуждаться в этом файле в /var/root. Файл принимает те же параметры, что и командная строка, но без тире. Один вариант в строке:

cacert=/path/to/my/certs.pem

Root не читает из текущих настроек доверия пользователя, но есть как настройки доверия администратора, так и настройки доверия пользователя root. (Они также отличаются от настроек доверия системы .) Также обратите внимание, что настройки доверия сертификата несколько отличаются от простого добавления сертификата в цепочку ключей; Вы можете пометить сертификат как доверенный, не добавляя его полностью. (Точная ситуация здесь мне не ясна, и документы, которые я видел, расплывчаты.)

Вы можете пометить сертификат как доверенный для текущего пользователя как

$ security add-trusted-cert /path/to/cert.pem

но это не помогает с рутом. Решение, как вы можете теперь догадаться, заключается либо в sudoприведенном выше, который затем помечает его как доверенного для пользователя root:

$ sudo security add-trusted-cert /path/to/cert.pem

или использовать -dфлаг, чтобы добавить его в настройки доверия администратора:

$ security add-trusted-cert -d /path/to/cert.pem

(OS X откроет диалоговое окно с паролем, чтобы подтвердить это.)

Любой из последних двух кажется достаточным для sudo curl.

Ссылка: https://developer.apple.com/library/mac/Documentation/Darwin/Reference/ManPages/man1/security.1.html

Это действительно в выходной подсказке:

echo insecure >> ~/.curlrc

Преимущество использования вышеуказанного решения заключается в том, что оно работает для всех curlкоманд, но это не рекомендуется, поскольку оно может вводить атаки MITM при подключении к незащищенным и ненадежным хостам.

Если вы используете MacPorts (и третья сторона сценарий вы упомянули не удаляет его из $PATHили вызовов /usr/bin/curl) вы можете установить certsyncи curlпорты в этом порядке.

certsyncэто инструмент и соответствующий список launchd, который будет экспортировать вашу системную цепочку для ключей $prefix/etc/openssl/cert.pemи установить символическую ссылку, $prefix/share/curl/curl-ca-bundle.crt -> $prefix/etc/openssl/cert.pemчтобы MacPorts curl автоматически брал сертификаты. certsyncтакже автоматически обновит сгенерированные файлы при изменении системной цепочки для ключей.

Документация, которую вы ищете, находится здесь. В нем объясняется, как использовать cURL на Mavericks и как предоставлять ваши сертификаты: http://curl.haxx.se/mail/archive-2013-10/0036.html

Чтобы заставить sudo curlработать (на OSX Sierra), нам пришлось импортировать сертификат в System.keychainи доверять ему там. Это можно сделать вручную в приложении Keychain или с помощью этой команды:

sudo security add-trusted-cert -d -k /Library/Keychains/System.keychain /path/to/cert.pem

Было важно как указать, так -dи вручную установить путь к системной цепочке -kдля ключей, чтобы убедиться, что сертификат действительно импортируется туда, если это еще не сделано.

Команда работает без sudo, но затем запрашивает пароль через диалоговое окно пользовательского интерфейса, что может быть препятствием для сценариев.