Adicionando certificado SSL adicional para ser reconhecido no Cygwin

1

Eu tenho uma configuração de servidor que possui um certificado HTTPS emitido por um provedor de certificados principal (DigiCert). O certificado é reconhecido por todos os navegadores em uma máquina que executa o Windows Server 2008 R2, incluindo o Internet Explorer, o Chrome e o Firefox.

No entanto, o certificado não é reconhecido no Cygwin. Por exemplo, eu recebo este erro quando tento clonar um URL git deste servidor:

error: SSL certificate problem: unable to get local issuer certificate while accessing [URL] fatal: HTTP request failed

Outras ferramentas dentro do Cygwin Eu tentei dar o mesmo erro, como curl:

curl: (60) SSL certificate problem: unable to get local issuer certificate

O Digicert tem o certificado exato de que preciso. Minha solução ideal seria atualizar o pacote de certificados que o Cygwin usa ou instalar manualmente o certificado necessário. Parece que o Cygwin tem um armazenamento de certificados separado do Windows. Como posso fazer isso?

Observação: não quero simplesmente ignorar o erro, pois muitos usuários usam essa máquina e precisam acessar o mesmo servidor, portanto, não faria sentido ignorar cada vez.

    
por Jake 16.03.2016 / 15:16

1 resposta

0

Como seu git -command está usando Curl internamente, tente curl --verbose https://the-repo-URL para ver o que acontece.

O resultado esperado é o mesmo erro que você relatou: " problema com o certificado SSL: não foi possível obter o certificado do emissor local ". Também na saída detalhada deve haver algo como: * successfully set certificate verify locations: CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none

O erro e a saída acima são traduzidos como: O certificado X.509 que seu repositório está usando é auto-assinado e não é confiável pelo Curl ou é emitido por uma autoridade de certificação não confiável pelo Curl. Os lugares que procuramos por uma âncora de confiança incluíam /etc/pki/tls/certs/ca-bundle.crt , mas não conseguimos encontrar nada aplicável.

Para corrigir isso:

  1. (essa é a parte complicada) Obtenha o certificado autoassinado ou o certificado raiz da CA de emissão
  2. Armazene o certificado X.509 no formato PEM no diretório /etc/pki/ca-trust/source/anchors
  3. Executar o comando update-ca-trust . Faça isso com permissões de administrador. Note também que este comando não produz nada.
  4. Feito! Teste.
por 31.07.2018 / 14:12