Curl Befehl für https - ( SSL -)

Ich versuche, führen Sie die folgenden CURL-Befehl, aber ich bin immer ein SSL-Zertifikat Fehler:

curl https://example.com:8443/cli/agentCLI -u username:password

Fehler:

curl: (60) SSL-Zertifikat problem, stellen Sie sicher, dass das CA cert is OK. Details:
Fehler:14090086:SSL-Routinen:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Mehr details hier: http://curl.haxx.se/docs/sslcerts.html

curl führt SSL-Zertifikate werden standardmäßig mit einem "bundle"
Certificate Authority (CA) öffentlicher Schlüssel (CA-CERT). Der Standard
bundle namens curl-ca-bundle.crt; Sie können angeben, dass eine andere Datei
mit der --cacert option.
Wenn diese HTTPS-server verwendet ein Zertifikat von einer ZERTIFIZIERUNGSSTELLE signiert vertreten
das bundle, das Zertifikat-Verifizierung wohl gescheitert
problem mit dem Zertifikat (könnte es abgelaufen sein, oder der name könnte
nicht mit der domain-Namen in der URL).
Wenn Sie möchten, schalten Sie " curl-s-Prüfung des Zertifikats verwenden
die -k (oder --insecure) option.

Wie würde ich dieses Problem beheben zu ermöglichen, für die SSL-URLs?

Siehe auch Verwenden Sie selbst signierte Zertifikat mit cURL?

InformationsquelleAutor Kalaiyarasan | 2015-03-08

15

wenn Sie ein selbst signiertes Zertifikat auf dem server, die Sie verwenden können:
```
curl -k https://example.com:8443/cli/agentCLI -u username:password
```
aber bewusst sein, dass Sie dann nicht besser als die Verwendung von nicht-SSL-Verbindung zum server, wie Sie Ihre Kommunikation nicht sicher sein mehr, um alle Arten von man-in-the-middle-Angriffen.

Aber mein Rat an Sie, ist der download der .pem vom server:
- die man normalerweise in /etc/ssl/ wenn Sie Zugriff auf den server,
- oder, die Sie herunterladen können,
mit:
```
echo "HEAD /HTTP/1.0\n Host: example.com\n\n EOT\n" | openssl s_client -prexit -connect example.com:8443 > cert.pem
```
Ihrem computer, halten Sie nur den Teil zwischen BEGIN CERTIFICATE und END CERTIFICATE innerhalb der Datei befinden (einschließlich der BEGIN/END-Zeilen) und geben Sie als parameter an die --cacert option, könnte man es sich auch herunterladen. Dann erhalten Sie zum authentifizieren Sie sich mit Ihrem server jedes mal, wenn Sie eine Verbindung herstellen!
```
curl --cacert cert.pem https://example.com:8443/cli/agentCLI -u username:password
```
Tests auf meinem eigenen selbst-signierte server -, es ist in Ordnung arbeiten:
```
% openssl s_client -showcerts -connect example.com:443 </dev/null 2>/dev/null | sed -n '/-----BEGIN CERTIFICATE-----/,/-----END CERTIFICATE-----/p' | grep -m1 -B-1 -- '-----END CERTIFICATE-----'  > cert.pem
% curl --cacert cert.pem https://example.com
```
ein Beispiel, sollten Sie arbeiten:
```
% openssl s_client -showcerts -connect git.cryptolib.org:443 </dev/null 2>/dev/null | sed -n '/-----BEGIN CERTIFICATE-----/,/-----END CERTIFICATE-----/p' | grep -m1 -B-1 -- '-----END CERTIFICATE-----'  > cert.pem
% curl --cacert cert.pem https://git.cryptolib.org
curl: (51) SSL: certificate verification failed (result: 5)
```
aber leider ist es nicht.

Ich habe auch versucht zu tun, wie vorgeschlagen,hier:
```
% openssl x509 -inform PEM -in cert.pem -text -out certdata.pem
% curl --cacert certdata.pem https://git.cryptolib.org
```
Welche nicht funktioniert, weil diese site (git.cryptolib.org ich verwende für die Tests nicht selbst signiert, sondern es ist von CACert Kette, welche gelöst werden können durch die Nutzung der CACert-root-Zertifikate, die nach diesem FAQ.

wenige Ressourcen zu Graben:
Aber keine definitive Antwort bislang :-s
- Dank Zmo..die ich runtergeladen habe .pem durch ausführen des Befehls echo "HEAD / HTTP/1.0\n Host: example.com\n\n EOT\n" | openssl s_client -prexit -verbinden Beispiel.com:8443 > cert.pem. Aber ich m gettng gleichen Fehler, wenn ich m laufen zweite Befehl, den Sie gab, hier
- Hi zmo..nach heruntergeladen cret.pem , ich habe " curl -k Beispiel.com:8443/cli/agentCLI -u user:pass .. Jetzt habe ich m bekommen die Ausgabe..Danke.. Aber ich habe nicht lesbar-Ausgabe ...Kannst du bitte tel mir, wie ich ll bekommen eine Ausgabe wie Zeile..
- curl -k ist meine erste Antwort und geben Sie unsichere https-Verbindung an den server. Es macht es Arbeit, aber es ist nicht authentifiziert.
- falls Ihr die Ausgabe nicht lesbar ist, es ist, was auf Ihre URL, die nicht vollständige HTML-text, sondern etwas anderes. Debuggen von server-code!
- curl -k ist nicht eine Antwort auf die Frage, wie im Grunde macht es http anstelle von https, indem unsichere verbindungen.
- es ist nicht genau richtig, es hängt alles von Ihrer Bedrohung-Modell. Die Kommunikation wird verschlüsselt mit curl -k auf eine https-URL ist, aber du bist sinnvoll, um Man in the Middle-Attacken, wenn das Zertifikat übernommen werden und durch eine neue ersetzt, die durch einen zwischengeschalteten router. So ist es besser als HTTP, auch, wenn nicht eine ordnungsgemäß gesicherte HTTPS-Verbindung. So, zwei Optionen sind möglich, Zertifikat-pinning (wie schlage ich in meiner Antwort) oder nutzen Sie letsencrypt.
InformationsquelleAutor zmo

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.