Git'i kullanarak, kendinden imzalı bir sertifikayı kabul ettiğini söylemenin bir yolu var mı?

Git sunucusunu barındırmak için bir https sunucusu kullanıyorum ancak şimdilik sertifika kendinden imzalı.

İlk kez orada repo oluşturmaya çalıştığımda:

git push origin master -f

Hatayı alıyorum:

error: Cannot access URL     
https://the server/git.aspx/PocketReferences/, return code 22

fatal: git-http-push failed

Belirli bir sertifikayı kalıcı olarak kabul etmek için

http.sslCAPathVeya deneyin http.sslCAInfo. Adam Spires'ın cevabı bazı harika örnekler veriyor. Bu soru için en güvenli çözümdür.

Tek bir git komutu için TLS / SSL doğrulamasını devre dışı bırakmak için

geçen denemek -ciçin gituygun yapılandırma değişkenli veya kullanmak Flow'un cevabı :

git -c http.sslVerify=false clone https://example.com/path/to/git

Belirli bir havuz için SSL doğrulamasını devre dışı bırakmak için

Depo tamamen kontrolünüz altındaysa deneyebilirsiniz:

git config --global http.sslVerify false

İçinde oldukça az SSL yapılandırma seçeneği var git. Man sayfasından git config:

http.sslVerify
    Whether to verify the SSL certificate when fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_NO_VERIFY environment variable.

http.sslCAInfo
    File containing the certificates to verify the peer with when fetching or pushing
    over HTTPS. Can be overridden by the GIT_SSL_CAINFO environment variable.

http.sslCAPath
    Path containing files with the CA certificates to verify the peer with when
    fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_CAPATH environment variable.

Birkaç yararlı SSL yapılandırma seçeneği:

http.sslCert
    File containing the SSL certificate when fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_CERT environment variable.

http.sslKey
    File containing the SSL private key when fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_KEY environment variable.

http.sslCertPasswordProtected
    Enable git's password prompt for the SSL certificate. Otherwise OpenSSL will
    prompt the user, possibly many times, if the certificate or private key is encrypted.
    Can be overridden by the GIT_SSL_CERT_PASSWORD_PROTECTED environment variable.

Sen ayarlayabilirsiniz GIT_SSL_NO_VERIFYiçin true:

GIT_SSL_NO_VERIFY=true git clone https://example.com/path/to/git

veya alternatif olarak Git'i komut satırındaki bağlantıyı doğrulamayacak şekilde yapılandırın:

git -c http.sslVerify=false clone https://example.com/path/to/git

SSL / TLS sertifikalarını doğrulamazsanız, MitM saldırılarına açık olduğunuzu unutmayın .

Mevcut cevapların [EDIT: orijinal sürümleri] büyük bir hayranı değilim , çünkü güvenlik kontrollerini devre dışı bırakmak son çözüm değil, sunulan ilk çözüm olmalıdır. Ek bir doğrulama yöntemi olmadan ilk makbuzda kendinden imzalı sertifikalara güvenemeseniz de, daha sonraki gitişlemler için sertifikayı kullanmak en azından sertifikayı indirdikten sonra meydana gelen saldırılar için hayatı çok daha zorlaştırır . Başka bir deyişle, indirdiğiniz sertifika eğer olduğunu hakiki, bu noktadan itibaren o zaman olman iyi. Buna karşılık, doğrulamayı devre dışı bırakırsanız , herhangi bir noktada her türlü ortadaki adam saldırısına açıksınız demektir .

Belirli bir örnek vermek gerekirse: ünlü repo.or.czdepo kendinden imzalı bir sertifika sağlar . Bu dosyayı indirebilir, benzer bir yere yerleştirebilir /etc/ssl/certsve sonra yapabilirim:

# Initial clone
GIT_SSL_CAINFO=/etc/ssl/certs/rorcz_root_cert.pem \
    git clone https://repo.or.cz/org-mode.git

# Ensure all future interactions with origin remote also work
cd org-mode
git config http.sslCAInfo /etc/ssl/certs/rorcz_root_cert.pem

git configBurada yerel (yani onsuz --global) kullanmanın, bu otomatik olarak imzalanan sertifikanın yalnızca bu belirli depo için güvenilir olduğu anlamına geldiğini unutmayın. Ayrıca , potansiyel olarak tehlikeye girebilecek farklı bir Sertifika Yetkilisi aracılığıyla doğrulama yapma GIT_SSL_CAPATHriskini ortadan kaldırdığı için kullanmaktan daha iyidir git.

Git Kendinden İmzalı Sertifika Yapılandırması

tl; Dr.

ASLA tüm SSL doğrulamasını devre dışı bırakmayın!

Bu kötü bir güvenlik kültürü yaratır. O kişi olma.

Sonra olduğunuz yapılandırma anahtarları:

• http.sslverify- Herzaman doğru. Yukarıdaki nota bakın.

Bunlar güvendiğiniz ana bilgisayar sertifikalarını yapılandırmak içindir

• http.sslCAPath
• http.sslCAInfo

Bunlar sertifikanızı SSL sorunlarına yanıt verecek şekilde yapılandırmak içindir.

• http.sslCert
• http.sslCertPasswordProtected

Yukarıdaki ayarları belirli ana bilgisayarlara seçmeli olarak uygulayın.

• http.<url>.*

.gitconfigKendinden İmzalı Sertifika Yetkilileri için Global

Kendi ve arkadaşlarımın uğruna, kendinden imzalı sertifikaları devre dışı bırakmadan nasıl çalıştırabildik sslVerify. Bunu.gitconfig kullanarak şunu düzenleyin git config --global -e:

# Specify the scheme and host as a 'context' that only these settings apply
# Must use Git v1.8.5+ for these contexts to work
[credential "https://your.domain.com"]
  username = user.name

  # Uncomment the credential helper that applies to your platform
  # Windows
  # helper = manager

  # OSX
  # helper = osxkeychain

  # Linux (in-memory credential helper)
  # helper = cache

  # Linux (permanent storage credential helper)
  # https://askubuntu.com/a/776335/491772

# Specify the scheme and host as a 'context' that only these settings apply 
# Must use Git v1.8.5+ for these contexts to work
[http "https://your.domain.com"]
  ##################################
  # Self Signed Server Certificate #
  ##################################

  # MUST be PEM format
  # Some situations require both the CAPath AND CAInfo 
  sslCAInfo = /path/to/selfCA/self-signed-certificate.crt
  sslCAPath = /path/to/selfCA/
  sslVerify = true

  ###########################################
  # Private Key and Certificate information #
  ###########################################

  # Must be PEM format and include BEGIN CERTIFICATE / END CERTIFICATE, 
  # not just the BEGIN PRIVATE KEY / END PRIVATE KEY for Git to recognise it.
  sslCert = /path/to/privatekey/myprivatecert.pem

  # Even if your PEM file is password protected, set this to false.
  # Setting this to true always asks for a password even if you don't have one.
  # When you do have a password, even with this set to false it will prompt anyhow. 
  sslCertPasswordProtected = 0

Referanslar:

• Git Kimlik Bilgileri
• Git Kimlik Bilgisi Mağazası
• Gnome Keyring'i kimlik bilgisi deposu olarak kullanma
• Git Config http. <url>. * Git v1.8.5 tarafından desteklenir

git clone-İng yaparken yapılandırmayı belirtin

Repo bazında uygulamanız gerekiyorsa, belgeler size sadece git config --localrepo dizininizde çalışmanızı söyler . Yerel olarak klonlanmış bir kopya bulunmadığı zaman bu işe yaramıyor, değil mi?

Genel global -> localyapılandırmanızı yukarıdaki gibi ayarlayarak hokey-pokey'i yapabilir ve daha sonra klonladıktan sonra bu ayarları yerel repo yapılandırmanıza kopyalayabilirsiniz ...

VEYA yapabileceğiniz şey , hedef kopyaya klonlandıktan sonra uygulanacak yapılandırma komutlarını belirtmektirgit clone .

# Declare variables to make clone command less verbose     
OUR_CA_PATH=/path/to/selfCA/
OUR_CA_FILE=$OUR_CA_PATH/self-signed-certificate.crt
MY_PEM_FILE=/path/to/privatekey/myprivatecert.pem
SELF_SIGN_CONFIG="-c http.sslCAPath=$OUR_CA_PATH -c http.sslCAInfo=$OUR_CA_FILE -c http.sslVerify=1 -c http.sslCert=$MY_PEM_FILE -c http.sslCertPasswordProtected=0"

# With this environment variable defined it makes subsequent clones easier if you need to pull down multiple repos.
git clone $SELF_SIGN_CONFIG https://mygit.server.com/projects/myproject.git myproject/

Bir Astar

DÜZENLEME: See VonC 'ın cevabı bu bir astara 2.14.x / 2,15 ila belirli git sürümleri için mutlak ve göreli yollar hakkında bir uyarı Puan

git clone -c http.sslCAPath="/path/to/selfCA" -c http.sslCAInfo="/path/to/selfCA/self-signed-certificate.crt" -c http.sslVerify=1 -c http.sslCert="/path/to/privatekey/myprivatecert.pem" -c http.sslCertPasswordProtected=0 https://mygit.server.com/projects/myproject.git myproject/

CentOS unable to load client key

Bunu CentOS'ta deniyorsanız ve .pemdosyanız size veriyorsa

unable to load client key: "-8178 (SEC_ERROR_BAD_KEY)"

Daha sonra bu StackOverflow'uncurl Açık SSL yerine NSS'yi nasıl kullanacağına dair bir cevap isteyeceksiniz .

Ve kaynaktan yeniden oluşturmakcurl istersiniz :

git clone http://github.com/curl/curl.git curl/
cd curl/
# Need these for ./buildconf
yum install autoconf automake libtool m4 nroff perl -y
#Need these for ./configure
yum install openssl-devel openldap-devel libssh2-devel -y

./buildconf
su # Switch to super user to install into /usr/bin/curl
./configure --with-openssl --with-ldap --with-libssh2 --prefix=/usr/
make
make install

libcurl hala paylaşılan bir kütüphane olarak bellekte olduğundan bilgisayarı yeniden başlat

Python, pip ve konda

İlgili : Windows'da pip tarafından kullanılan CA Store'a özel bir CA Kök sertifikası nasıl eklenir?

Bu sorunla karşılaşmaya devam ediyorum, bu yüzden kendinden imzalı sertifikayı sunucudan indirmek ve ~ / .gitcerts'e yüklemek için bir komut dosyası yazdım, sonra bu sertifikalara işaret etmek için git-config'i güncelleyin. Genel yapılandırmada depolanır, bu yüzden uzaktan kumandada yalnızca bir kez çalıştırmanız gerekir.

https://github.com/iwonbigbro/tools/blob/master/bin/git-remote-install-cert.sh

Bu cevap Michael Kauffman tarafından yazılan bu makaleden alınmıştır.

Windows için Git'i kurumsal SSL sertifikasıyla kullanma

Sorun :

Kurumsal bir SSL sertifikanız varsa ve repo'nuzu konsoldan veya VSCode'dan kopyalamak istiyorsanız, aşağıdaki hatayı alırsınız:

ölümcül: ' https: // myserver / tfs / DefaultCollection / _git / Proj / ' 'ye erişilemiyor : SSL sertifikası sorunu: yerel yayıncı sertifikası alınamıyor

Çözüm :

1. Kendinden imzalı kök sertifikayı bir dosyaya verin. Bunu tarayıcınızın içinden yapabilirsiniz.

2. Git klasörünüzdeki “ca-bundle.crt” dosyasını bulun (geçerli sürüm C: \ Program Files \ Git \ usr \ ssl \ certs, ancak geçmişte değişti). Dosyayı kullanıcı profilinize kopyalayın. VSCode gibi bir metin düzenleyicisiyle açın ve dışa aktarılan sertifikanızın içeriğini dosyanın sonuna ekleyin.

Şimdi git'i yeni dosyayı kullanacak şekilde yapılandırmamız gerekiyor:

git config --global http.sslCAInfo C:/Users/<yourname>/ca-bundle.crt

Bu işlem, kullanıcı profilinizin kök dizinindeki .gitconfig dosyanıza aşağıdaki girdiyi ekler.

[http] sslCAInfo = C:/Users/<yourname>/ca-bundle.crt

Belirli bir havuz için SSL doğrulamasını devre dışı bırakmak için Havuz tamamen kontrolünüz altındaysa deneyebilirsiniz:

 git config --global http.sslVerify false

Nda olduğu gibi sslkey veya sslcert kullanarak tek kalemi kullanıyorsanız dikkatli olun Josh Tepe bireyin cevabı :

git clone -c http.sslCAPath="/path/to/selfCA" \
  -c http.sslCAInfo="/path/to/selfCA/self-signed-certificate.crt" \
  -c http.sslVerify=1 \
  -c http.sslCert="/path/to/privatekey/myprivatecert.pem" \
  -c http.sslCertPasswordProtected=0 \
https://mygit.server.com/projects/myproject.git myproject

Yalnızca Git 2.14.x / 2.15 (2015 3. Çeyrek) bir yolu ~username/mykeydoğru olarak yorumlayabilir (yine de mutlak bir yolu yine de yorumlayabilir /path/to/privatekey).

Bkz 8d15496 taahhüt tarafından (20 Tem 2017) Junio C Hamano ( gitster) .
Yardım eden: Charles Bailey ( hashpling) .
^{( Junio ​​C Hamano tarafından birleştirildi - gitster- içinde 17b1e1d tamamlama 2017 Ağustos 11)}

http.c: http.sslcertve http.sslkeyher ikisi de yol adıdır

Geri Modern http_options () codepath çeşitli http ayrıştırmak için oluşturuldu. * En seçenekleri zaman 29508e1 (2005/11/18, Git 0.99.9k, "izolatı HTTP isteği işlevselliği paylaşılan") ve daha sonra birden arasındaki etkileşimi için düzeltildi yapılandırma dosyaları 7059cd9 (" http_init(): yapılandırma dosyası ayrıştırma düzelt", 2009-03-09, Git 1.6.3-rc0), biz gibi yapılandırma değişkenleri ayrıştırıldıhttp.sslkey , http.sslcertçünkü düz vanilya dizeleri olarak git_config_pathname()o 'anlar ~[username]/öneki olmasaydı'.

Daha sonra, bazılarını ( http.sslCAPathve, http.sslCAInfo) işlevi kullanmak üzere dönüştürdük vehttp.cookeyFile http.pinnedpubkey ve işlevi baştan kullanmak . Bu nedenle, bu değişkenlerin hepsi " ~[username]/" önekini anlar .

Kalan iki değişken yapın http.sslcertve http.sslkeyher ikisi de açıkça dosyalara pathnames gibi, aynı zamanda, kongre farkında.

Windows'ta Git'in 64bit sürümünü kullanarak, kendinden imzalı CA sertifikasını şu dosyalara eklemeniz yeterlidir:

• C: \ Program Dosyaları \ Git \ mingw64 \ ssl \ certs \ ca-bundle.crt
• C: \ Program Dosyaları \ Git \ mingw64 \ ssl \ certs \ ca-bundle.trust.crt

Sadece bir sunucu kendinden imzalı sertifika ise

• C: \ Program Dosyaları \ Git \ mingw64 \ ssl \ cert.pem

Virüsten koruma ve güvenlik duvarı ayarlarınızı kontrol edin.

Git bir günden diğerine artık gitmedi. Yukarıda açıklananlarla Kaspersky'nin kendi kendine imzalı bir Anti-virüs kişisel kök sertifikası ortaya koyduğunu gördüm. Yukarıdaki talimatları izleyerek Git'in bu sertifikayı kabul etmesine izin veremedim. Bundan vazgeçtim. Benim için işe yarayan, şifreli bağlantıları tarama özelliğini devre dışı bırakmaktır.

1. Kaspersky'yi açın
2. Ayarlar> Ek> Ağ> Şifreli bağlantıları tarama

Bundan sonra git sslVerify etkinken tekrar çalışır.

Not. Bu benim için hala tatmin edici değil, çünkü Anti-Virüsümün bu özelliğinin aktif olmasını istiyorum. Gelişmiş ayarlarda Kaspersky, bu özellikle çalışmayacak web sitelerinin bir listesini gösterir. Github bunlardan biri olarak listelenmiyor. Kaspersky forumunda kontrol edeceğim. Bazı konular var gibi görünüyor, örneğin https://forum.kaspersky.com/index.php?/topic/395220-kis-interfering-with-git/&tab=comments#comment-2801211

Gelen .gitconfig dosyası aşağıda verilen değer katabilirsiniz kendinden kabul edilebilir sertifika imzalanan yapmak için

sslCAInfo = /home/XXXX/abc.crt

Bunu şöyle yaparım:

git init
git config --global http.sslVerify false
git clone https://myurl/myrepo.git

Windows'ta bu benim için çalıştı:

Kendinden imzalı sertifikanızın içeriğini ca-bundle dosyasının sonuna ekleyin . Dahil ----- SERTİFİKA BAŞLANGICI ----- ve ----- SERTİFİKA SONU ----- hatları

Ca-bundle dosyasının konumu genellikle C: \ Program Files \ Git \ mingw64 \ ssl \ certs

Daha sonra, ca-bundle dosyasının yolunu global git config dosyasına ekleyin . Aşağıdaki komut hile yapar:git config --global http.sslCAInfo "C:/Program Files/Git/mingw64/ssl/certs/ca-bundle.crt"

Açıklama: Yol, ca-bundle dosyasının yerel yoluna bağlıdır!

Http.sslVerify false değerini ayarlamak iyi bir uygulama değildir. Bunun yerine SSL sertifikasını kullanabiliriz.

Bu nedenle, derleme aracısı kimlik doğrulama için SSL sertifikası ve PAT ile https kullanacaktır.

–Begin — ve –end-- dahil cer dosyasının içeriğini kopyalayın.

git bash on build agent => git config –global http.sslcainfo “C: / Program Dosyaları / Git / mingw64 / ssl / certs / ca-bundle.crt” Bu dosyaya gidin ve .cer içeriğini ekleyin.

Böylece derleme aracısı SSL sertifikasına erişebilir

Cevabım gecikebilir ama benim için çalıştı. Birine yardım edebilir.

Yukarıda belirtilen adımları denedim ve bu sorunu çözmedi.

bunu denegit config --global http.sslVerify false

Windows makinesi kullanıyorum ve bu makale bana yardımcı oldu. Temelde not defterinde ca-bundle.crt dosyasını açtım ve içine zincir sertifikaları ekledim (hepsi). Bu sorun genellikle sistem ve git repo arasında oturan orta adamların bulunduğu şirket ağlarında olur. Temel 64 formatında yaprak sertifikası hariç tüm sertifikaları sertifika zincirinde dışa aktarmalı ve hepsini ca-bundle.crt dosyasına eklemeli ve sonra bu değiştirilmiş crt dosyası için git'i yapılandırmalıyız.