SSL sertifikası, güvenlik duvarının arkasında HTTPS üzerinden GitHub'a erişmeye çalışmayı reddetti

Bir güvenlik duvarının arkasında kaldım, bu yüzden GitHub veri havuzuma erişmek için HTTPS kullanmak zorundayım. Windows XP'de cygwin 1.7.7 kullanıyorum.

Uzaktan kumandayı ayarlamayı denedim https://username@github.com/username/ExcelANT.git, ancak bir parola soruyor, ancak girdikten sonra hiçbir şey yapmıyor. https://username:<password>github.com/username/ExcelANT.gitve boş depoyu sıfırdan klonlamak ama her defasında bana aynı hatayı veriyor

hata: SSL sertifikası sorunu, CA sertifikasının TAMAM olduğunu doğrulayın. Ayrıntılar:
hata: 14090086: SSL rutinleri: SSL3_GET_SERVER_CERTIFICATE: https://github.com/username/ExcelANT.git/info/refs adresine erişirken sertifika doğrulaması başarısız oldu

Açmak GIT_CURL_VERBOSE=1bana

* Github.com bağlantı noktası 443'e bağlanmak üzere () 443 (# 0)
* 207.97.227.239 çalışıyor ... * sertifika doğrulama konumlarını başarıyla ayarlandı:
* CAfile: none
CApath: / usr / ssl / certs
* SSL sertifika sorunu, şunu doğrulayın CA sertifikası TAMAM. Ayrıntılar:
hata: 14090086: SSL rutinleri: SSL3_GET_SERVER_CERTIFICATE: sertifika doğrulaması başarısız oldu
* Sonu temizlendi
* Bağlantı
kapatılıyor # 0 * github.com bağlantı noktası 443'e bağlanmak üzere ()
* (# 0) * Sertifika başarıyla ayarlandı konumları doğrulayın:
* CAfile: yok
CApath: / usr / ssl / certs
* SSL sertifikası sorunu, CA sertifikasının uygun olduğunu doğrulayın. Detaylar:
hata: 14090086: SSL rutinleri: SSL3_GET_SERVER_CERTIFICATE: sertifika doğrulama başarısız
* Sonu temizlendi
* Bağlantı kapatılıyor # 0
hatası: SSL sertifika sorunu, CA sertifikasının uygun olduğunu doğrulayın. Ayrıntılar:
hata: 14090086: SSL rutinleri: SSL3_GET_SERVER_CERTIFICATE: https://github.com/username/ExcelANT.git/info/refs adresine erişirken sertifika doğrulaması başarısız oldu

fatal: HTTP request failed

Güvenlik duvarım, cygwin'im veya neyle ilgili bir sorun mu var?

Git proxy'de HTTP proxy ayarlamamıştım, ancak NTLM kimlik doğrulaması gerektiren bir ISA sunucusu değil, temel değil, bu yüzden kimse git'i NTLM'yi kullanmaya nasıl zorlayacağını bilmiyorsa, korkuyorum.

Sertifika sorununu düzeltmek istiyorsanız bu cevabı atlamaktan çekinmeyin. Bu cevap, güvenlik duvarı üzerinden ssh tünellemesi ile ilgilidir, bu da IMHO, güvenlik duvarı / proxy şeyleri ile başa çıkmak için daha iyi bir çözümdür.

Http erişimini kullanmaktan daha iyi bir yol var ve bu, gshub tarafından ssh.github.com sunucusunun 443 numaralı bağlantı noktasında sunulan ssh hizmetini kullanmaktır.

Tirbuşon adı verilen bir araç kullanıyoruz. Bu, en sevdiğiniz paketleme aracını kullanarak hem CygWin (cygwin ana sayfasından kurulum yoluyla) hem de Linux için kullanılabilir. MacOSX için en azından macports'tan ve demlemeden elde edilebilir.

Komut satırı aşağıdaki gibidir:

$ corkscrew <proxyhost> <proxyport> <targethost> <targetport> <authfile>

Proxyhost ve proxyport, https proxy'sinin koordinatlarıdır. Targethost ve targetport, tünellenecek ana bilgisayarın konumudur. Kimlik doğrulama dosyası, proxy sunucusu kullanıcı adınızı / şifrenizi iki nokta üst üste işaretiyle ayıran 1 satırlı bir metin dosyasıdır

Örneğin:

abc:very_secret

Git iletişimi için "normal" ssh protokolünü kullanarak kurulum

Bunu ~/.ssh/configbu numaraya ekleyerek normal ssh bağlantıları için kullanılabilir.

Host github.com
  HostName ssh.github.com
  Port 443
  User git
  ProxyCommand corkscrew <proxyhost> <proxyport> %h %p ~/.ssh/proxy_auth

şimdi ssh-ing'den gitproxy'ye çalıştığını test edebilirsiniz

pti@pti-laptop:~$ ssh github.com
PTY allocation request failed on channel 0
Hi ptillemans! You've successfully authenticated, but GitHub does not provide shell access.
       Connection to github.com closed.
pti@pti-laptop:~$

(Not: github'da daha önce hiç oturum açmadıysanız, ssh sunucu anahtarını bilinen hosts dosyasına eklemenizi isteyecektir. Paranoyaksanız, RSA parmak izini, github sitesinde gösterilen github sitesinde gösterilene doğrulamanız önerilir. anahtarınızı yükledi).

Özel bir hesabınızı profesyonel hesabınızdan ayırmak için başka bir anahtarla bir depoya erişmeniz gerektiğinde bu yöntemdeki küçük bir değişiklik söz konusudur.

# 
# account dedicated for the ACME private github account 
#
Host acme.github.com
  User git
  HostName ssh.github.com
  Port 443
  ProxyCommand corkscrew <proxyhost> <3128> %h %p ~/.ssh/proxy_auth
  IdentityFile ~/.ssh/id_dsa_acme

zevk almak!

Bunu yıllardır hem Linux'ta, Mac'lerde hem de Windows'da kullanıyoruz.

İsterseniz bu blog gönderisinde daha fazla bilgi edinebilirsiniz

Sorun, sisteminizde herhangi bir Sertifika Yetkilisi sertifikası bulunmamasıdır. Ve bu sertifikalar cygwin's setup.exe ile yüklenemez.

Güncelleme: Cygwin'e Net / ca-sertifika paketi yükleyin (teşekkürler dirkjot)

İki çözüm var:

1. Aslında kök sertifikaları yükleyin. Curl çocuklar sizin için Mozilla sertifikalarını ayıkladı .

   cacert.pemaradığınız dosyadır. Bu dosya 250'den fazla CA sertifikası içerir (bu ppl sayısına nasıl güveneceğinizi bilmiyorum). Bu dosyayı indirmeniz, tek tek sertifikalara bölmeniz / usr / ssl / certs (CApath) dizinine koymanız ve dizine eklemeniz gerekir.

   İşte nasıl yapılacağı. Cygwin setup.exe ile curl ve openssl paketleri kurun:

   $ cd /usr/ssl/certs
   $ curl http://curl.haxx.se/ca/cacert.pem |
     awk '{print > "cert" (1+n) ".pem"} /-----END CERTIFICATE-----/ {n++}'
   $ c_rehash

   Önemli : Kullanabilmek c_rehashiçin de kurmanız gerekir openssl-perl.

2. SSL sertifikası doğrulamasını yoksay.

   UYARI: SSL sertifikası doğrulamanın devre dışı bırakılmasının güvenlik etkileri vardır. SSL / HTTPS bağlantılarının doğruluğunu doğrulamadan, kötü niyetli bir saldırgan güvenilir bir uç noktayı (GitHub veya başka bir uzak Git ana bilgisayarı gibi) taklit edebilir ve Ortadaki Adam Saldırısına . Çözüm olarak kullanmadan önce güvenlik sorunlarını ve tehdit modelinizi tam olarak anladığınızdan emin olun .

   $ env GIT_SSL_NO_VERIFY=true git clone https://github...
   

Not: SSL doğrulamasının devre dışı bırakılmasının güvenlik etkileri vardır . Bir ağ üzerinden veri aktarmak için Git'i kullandığınızda Ortadaki Adam saldırılarına izin verir. Bunu bir çözüm olarak kullanmadan önce güvenlik sonuçlarını tam olarak anladığınızdan emin olun. Ya da daha iyisi, kök sertifikaları yükleyin.

Bunun bir yolu SSL CERT doğrulamasını devre dışı bırakmaktır:

git config --global http.sslVerify false

Bu, CURL'nin HTTPS sertifikasını vermesini önleyecektir.

Yalnızca bir depo için:

git config http.sslVerify false

Git'in tüm sistemimin kullandığı dosyayı değiştirmeden güncellenmiş sertifika paketini kullanmasını istedim. Git'in ana dizinimdeki belirli bir dosyayı nasıl kullanacağını aşağıda görebilirsiniz:

mkdir ~/certs
curl http://curl.haxx.se/ca/cacert.pem -o ~/certs/cacert.pem

Şimdi .gitconfigbunu akran doğrulaması için kullanmak üzere güncelleyin :

[http]
sslCAinfo = /home/radium/certs/cacert.pem

Not Mutlak bir yol kullanıyorum. Git burada yol genişletmesi yapmaz, bu nedenle ~çirkin bir çamur olmadan kullanamazsınız . Alternatif olarak, yapılandırma dosyasını atlayabilir ve yolu ortam değişkeni üzerinden ayarlayabilirsiniz GIT_SSL_CAINFO.

Bu sorunu gidermek için ayarlayın GIT_CURL_VERBOSE=1. Git'in kullandığı CA dosyasının yolu, çıktıda "CAfile:" ile başlayan satırlarda gösterilir.

Benim için bu çalışma (CentOS 5.6 RVM yükleme) almak için, ben aşağıdaki çalıştırmak zorunda olduğunu unutmayın:

export GIT_SSL_NO_VERIFY=true

ve bundan sonra, RVM yükleyicisini bash'a kıvırmak için standart kurulum prosedürü bir tedavi yaptı :)

Çok basit bir çözüm: https: // yerine git: // yazın

Https : //the.repository yerine git: //the.repository kullanın ve çalışacaktır.

TortoiseGit ile Windows'ta bu sorunu yaşadım ve bu çözüldü.

En popüler cevap (Alexey Vishentsev tarafından) şöyle:

Sorun, sisteminizde herhangi bir Sertifika Yetkilisi sertifikası bulunmamasıdır. Ve bu sertifikalar cygwin's setup.exe ile yüklenemez.

Ancak, bu son iddia yanlıştır (şimdi ya da her zaman öyleydi, bilmiyorum).

Tek yapmanız gereken cygwin kurulumuna gitmek ve 'ca-certificate' paketini dahil etmektir (Net altındadır). Bu benim için hile yaptı.

Orijinal soru Cygwin listeler biliyorum, ama İşte CentOS için çözüm:

curl http://curl.haxx.se/ca/cacert.pem -o /etc/pki/tls/certs/ca-bundle.crt

Kaynak: http://eric.lubow.org/2011/security/fixing-centos-root-certificate-authority-issues/

SSL doğrulamasını ayarlarken pencerelerde klonlamak için false olarak doğrulayın:

    git -c http.sslVerify=false clone http://example.com/e.git

Eğer klon istiyorsanız olmadan global ayarları borfing.

CentOS 5.x'te, basit bir yum update opensslsistem ca-bundle.crtdosyasını güncelleyen ve benim için sorunu gideren openssl paketini güncelledi .

Aynı durum diğer dağıtımlar için de geçerli olabilir.

Tek yapmanız gereken Cygwin git istemcisini github.com ile kullanmaksa, cert dosyalarını indirme, çıkarma, dönüştürme, bölme zahmetinden geçmeden çok daha basit bir yol var. Aşağıdaki gibi ilerleyin (Cygwin ve Firefox ile Windows XP'yi varsayıyorum)

1. Firefox'ta github sayfasına gidin (herhangi bir)
2. sertifikayı görüntülemek için adres çubuğundaki github simgesine tıklayın
3. "Daha fazla bilgi" -> "sertifika görüntüle" -> "ayrıntılar" seçeneklerini tıklayın ve hiyerarşideki en üstteki her düğümü seçin; her biri için "Dışa Aktar" ı tıklayın ve PEM biçimini seçin:
   • GTECyberTrustGlobalRoot.pem
   • DigiCertHighAssuranceEVRootCA.pem
   • DigiCertHighAssuranceEVCA-1.pem
   • github.com.pem
4. Yukarıdaki dosyaları yerel sürücünüzde bir yere kaydedin, uzantıyı .pem olarak değiştirin ve Cygwin kurulumunuzda / usr / ssl / certs'e taşıyın (Windows: c: \ cygwin \ ssl \ certs)
5. (isteğe bağlı) c_reshash'i bash'dan çalıştırın.

Bu kadar.

Tabii ki bu sadece bir sertifika hiyerarşisini, github için ihtiyacınız olanı yükler. Elbette bu yöntemi, güvenmediğiniz (mutlaka) 200 serts yüklemeye gerek kalmadan başka herhangi bir siteyle kullanabilirsiniz.

Mac OS X kullanıyorsanız, ca-cert-paketini şu şekilde yükleyebilirsiniz homebrew:

$ brew install curl-ca-bundle
$ git config --system http.sslcainfo /usr/local/share/ca-bundle.crt

Formülü üzerinden paylaşımına sertifika demetini yükler:

share.install 'ca-bundle.crt'

shareYöntem için sadece bir takma /usr/local/shareve kıvrılma-ca-demeti tarafından sağlanmaktadırMozilla . Birçok konuda referans gördüğünüz şey budur. Mac OS X'te brew install curlbuna nasıl yaklaşılacağı konusunda çok basit olmadığı için umarız. Sadece fıçı olduğu ve bağlanmayacağı için size çok fazla ulaşmayacaktır (çalışma which curlher zaman çıktı olacaktır /usr/bin/curl, bu sizin İŞLETİM SİSTEMİ). Bu gönderinin değeri de olabilir .

homebrewGit deposu olduğu için yüklemeden önce SSL'yi elbette devre dışı bırakmanız gerekir . SSL doğrulaması sırasında hata oluştuğunda bu kıvrımın söylediği şeyi yapın ve:

$ echo insecure >> ~/.curlrc

Eğer aldıktan sonra homebrewbirlikte yüklü curl-ca-bundle, silme .curlrcve github üzerinde bir repo klonlama deneyin. Herhangi bir hata olmadığından emin olun ve hazır olacaksınız.

NOT: Başvuruyorsanız .curlrc, test ettiğiniz anda lütfen sisteminizden kaldırın. Bu dosya büyük sorunlara neden olabilir, bu nedenle geçici amaçlar için ve dikkatli kullanın. brew doctorsisteminizden temizlemeyi unutmanız durumunda şikayette bulunacaktır).

NOT: git sürümünüzü güncelleştirirseniz, sistem ayarlarınız silineceğinden bu komutu yeniden çalıştırmanız gerekir (sürüme göre git ikilisine göre depolanırlar).

Yani koştuktan sonra:

$ brew update
$ brew upgrade

Git'in yeni bir sürümünü alırsanız, sadece tekrar çalıştırın:

$ git config --system http.sslcainfo /usr/local/share/ca-bundle.crt

Ve her şey hazır olacak.

Son olarak git'in yeni bir sürümüne sahipseniz, şunu çalıştırın:

$ git config -l --system

çizgisinde size bir hata vermeli

fatal: unable to read config file '/usr/local/Cellar/git/1.8.2.2/etc/gitconfig'

Mozilla ca paketinin nerede olduğunu söylemeniz gereken bir ipucu.

GÜNCELLEME:

.curlrcsorununuzun çözümü olabilir veya olmayabilir. Her durumda, manuel olarak indirip indirmemeniz gerekip gerekmediği konusunda Mozilla ca-paketini makinenize kurmanız yeterlidir. Burada önemli olan bu. Ca paketini aldıktan sonra, gitmeye hazırsınız. Git config komutunu çalıştırın ve git'i ca-bundle'a yönlendirin.

GÜNCELLEME

Son zamanlarda eklemek zorunda kaldım:

export CURL_CA_BUNDLE=/usr/local/share/ca-bundle.crtkullandığımdan .zshenvberi nokta dosyama zsh. git configseçenek çoğu durum için çalıştı, ama SSL üzerinden GitHub vururken ( rvm get stableörneğin), hala sertifika sorunları koştu. @Maverick bunu yorumunda belirtti, ancak birisinin kaçırdığı veya varsaydığı takdirde, bu ortam değişkenini çalıştırmanın yanı sıra dışa aktarmaya gerek duymadığı varsayılırsagit config --system.... komutu . Teşekkürler ve umarım bu yardımcı olur.

GÜNCELLEME

Görünüşe bukle-ca-bohça edildi geçenlerde homebrew kaldırıldı . Burada bir tavsiye var .

Bazı dosyaları içine bırakmak isteyeceksiniz:

$(brew --prefix)/etc/openssl/certs

Bu komutu Terminal'de deneyebilirsiniz :

git config --global http.ssl yanlış doğrula

Ca sertifikalarını (Git ve çok daha fazlası dahil ) kolayca indirmek için apt-cyg ( apt-get'e benzer büyük bir yükleyici) kullanarak bu sorunu çözdüm :

apt-cyg install ca-certificates

Not : apt-cyg ilk olarak kurulmalıdır. Bunu Windows komut satırından yapabilirsiniz:

cd c:\cygwin
setup.exe -q -P wget,tar,qawk,bzip2,subversion,vim

Windows cmd'yi kapatın ve Cygwin Bash'i açın:

wget rawgit.com/transcode-open/apt-cyg/master/apt-cyg
install apt-cyg /bin

bir rasbery pi üzerinde vardı

pi @ raspbmc: ~ $ git clone http: //github.com/andreafabrizi/Dropbox-Uploader .git 'Dropbox-Uploader' içine klonlama ... hatası: Erişim sırasında SSL CA sertifikası (yol? erişim hakları?) ile ilgili sorun http: // github.com/andreafabrizi/Dropbox-Uploader.git/info/refs ölümcül: HTTP isteği başarısız oldu

öyleyse a

sudo apt-get install ca-certificates

sonra

git clone http://github.com/andreafabrizi/Dropbox-Uploader.git  

işlenmiş

Debian tabanlı işletim sistemi kullandıysanız,

apt-get install ca-sertifikaları

Solaris Express 11 için de aynı sorunu yaşıyorum. Biraz zamanımı aldı ama sertifikaların nereye yerleştirilmesi gerektiğini bulmayı başardım. /Etc/openssl/openssl.cnf dosyasına göre, sertifikaların yolu / etc / openssl / certs dizinidir. Alexey'in yukarıdaki tavsiyesi kullanılarak oluşturulan sertifikaları yerleştirdim.

Komut satırında openssl kullanarak işlerin çalıştığını doğrulayabilirsiniz:

openssl s_client -connect github.com:443

Bir .netrc dosyası kullanmayı deneyin, dosya https üzerinden doğrulanır. .netrcAna dizininizde bir dosya çağrısı oluşturun ve bunu içine koyun:

machine github.com login myusername password mypass

Daha fazla bilgi için bu gönderiye bakın:

https://plus.google.com/u/0/104462765626035447305/posts/WbwD4zcm2fj

Windows cmd'de GIT / curl ssl doğrulamasını geçici olarak devre dışı bırakarak RouMao'nun çözümünü iyileştirin:

set GIT_SSL_NO_VERIFY=true
git config --global http.proxy http://<your-proxy>:443

Bu çözümle ilgili iyi olan şey, sadece geçerli cmd penceresinde etkili olması.

Zamanını kontrol ettin mi?

Git operasyonlarımı güvensiz yapmayı kesinlikle reddettim ve burada bahsettiğim her şeyi denedikten sonra, sertifikaların doğrulamayı geçememesinin olası bir nedeninin tarihlerin yanlış olması (sertifikanın son kullanma tarihi veya yerel) saat) .

dateBir terminal yazarak bunu kolayca kontrol edebilirsiniz . Benim durumumda (yeni bir ahududu Pi), yerel saat 1970'e ayarlandı, bu yüzden basit bir ntpdate -u 0.ubuntu.pool.ntp.orgşey düzeltildi. Bir rPi için, ben de aşağıdaki komut dosyasını günlük cron işine koymanızı öneririm /etc/cron.daily/ntpdate:

#!/bin/sh
/usr/sbin/ntpdate -u 0.ubuntu.pool.ntp.org 1> /dev/null 2>&1

Github'dan erişim belirteci oluşturun ve tekrar görünmeyeceğinden kaydedin.

git -c http.sslVerify=false clone https://<username>:<token>@github.com/repo.git

veya,

git config --global http.sslVerify false
git clone https://github.com/repo.git

Git'i yönetmek zorunda olduğum ortak bir geliştirme platformunda yapılandırmak için de aynı sorunla karşılaştım.

Çözmek için:

• Sunucuda yüklü Curl sürümünü güncelledim. Web sitesi son sürümünü indirin kıvrılma İndirme sayfasına ve kurulum işlemleri uygulayın kıvrılma montajı işlemlerini

• Sunucu için sertifikayı veren yetkilinin sertifikasını geri alın.

• Bu sertifikayı curl tarafından kullanılan CAcert dosyasına ekleyin. Sunucumda bulunuyor /etc/pki/tls/certs/ca-bundle.crt.

• Git'i, .gitconfig dosyasını düzenleyerek ve sslcainfo yolunu ayarlayarak bu sertifika dosyasını kullanacak şekilde yapılandırın. sslcainfo= /etc/pki/tls/certs/ca-bundle.crt

• İstemci makinede sertifikayı almalı ve .gitconfig dosyasını da yapılandırmalısınız.

Umarım bu bazılarınıza yardımcı olur.

Her şeyi denedim, sonunda hosts dosyasına baktım ve github için rastgele bir giriş vardı. Takma adı kaldırmak sorunu çözdü

% Systemroot% \ system32 \ drivers \ etc \ hosts

SSL sertifikası kimlik doğrulamasını devre dışı bıraktım ve aşağıda gösterildiği gibi basit kullanıcı adı parola giriş bilgilerini kullandım

Sadece Cygwin ve git için sertifikalara ihtiyacım vardı, bu yüzden @esquifit ne gönderdi yaptım. Ancak, adım 5'i manuel olarak çalıştırmak zorunda kaldım, sistemimde c_rehash yoktu. Bu kılavuzu izledim: Bunun yerine CA Sertifikalarını OpenSSL çerçevesine yükleme .

İki şeye ihtiyacım vardı:

1. cygwin kurulumuna gidin ve ' ca-certificate ' paketini (Net altındadır) (başka bir yerde belirtildiği gibi) ekleyin .

2. Yüklü sertifikaları nerede bulacağınızı söyleyin:

   GIT_SSL_CAINFO = / usr / SSL / certs / ca-bundle.crt GIT_CURL_VERBOSE = 1 git ...

   (Ayrıntılı seçenek gerekli değildir)

   Veya seçeneği kalıcı olarak saklamak:

   git config küresel http.sslCAinfo /usr/ssl/certs/ca-bundle.crt

   git ...

Aynı sorunu yaşadım. Sertifika içe aktarma veya SSL doğrulamasını ayarlama komutu çalışmadı. Ağ proxy'si için süresi dolmuş bir parola olduğu ortaya çıktı. Proxy yapılandırması girişi oldu. Windows kullanıcı profilimde bulunan .gitconfig dosyasında. Tüm girişi kaldırdım ve tekrar çalışmaya başladı.

Bir Mac OSX 10.5 sisteminde, bunu basit bir yöntemle çalıştırabildim. İlk olarak, benim için uygun olan github prosedürlerini ve testi çalıştırın, sertifikamın gerçekten iyi olduğunu gösteriyor. https://help.github.com/articles/generating-ssh-keys

ssh -T git@github.com

Sonra nihayet uzaktan kumandalar için başka bir url biçimi fark ettim. Yukarıdaki diğerlerini denedim ve işe yaramadılar. http://git-scm.com/book/ch2-5.html

git@github.com:MyGithubUsername/MyRepoName.git

Basit bir "git push myRemoteName" harika çalıştı!

Son zamanlarda (Temmuz 2014) benzer bir sorun yaşadım ve OS X'te (10.9.4) bir "DigiCert Yüksek Güvence EV Kök CA" sertifikasının süresinin dolduğunu gördüm (yine de süresi dolmamış bir tane daha vardı).

1. Açık Anahtarlık Erişimi
2. "DigiCert" için Arama Sertifikaları
3. Görünüm menüsü> Süresi Dolmuş Sertifikaları Göster

Biri Kasım 2031'de süresi dolmuş ve Temmuz 2014'te (birkaç gün önce) süresi dolan "DigiCert Yüksek Güvence EV Kökü CA" adlı iki sertifika buldum. Süresi dolmuş sertifikayı silmek sorunu benim için çözdü.

Bu yardımcı olur umarım.

Msys / MinGW GIT kullananlar için bunu ekleyin

  export GIT_SSL_CAINFO=/mingw32/ssl/certs/ca-bundle.crt