Meu servidor CentOS 7, que está na nuvem privada da AWS (rede da empresa), não consegue se conectar a alguns sites. Depois de algum trabalho, consegui reduzir o problema ao seguinte problema.
curl -v https://git.company.com
que retorna,
About to connect() to git.company.com port 443 (#0)
Trying 10.62.124.6...
Connected to git.company.com (10.62.124.6) port 443 (#0)
Initializing NSS with certpath: sql:/etc/pki/nssdb
CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
curl -v https://alm.company.com
que retorna
About to connect() to alm.company.com port 443 (#0)
Trying 10.64.167.137...
Connected to alm.company.com (10.64.167.137) port 443 (#0)
Initializing NSS with certpath: sql:/etc/pki/nssdb
CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
SSL connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
...
...
...
Accept: */*
Estes são dois sites internos confiáveis pela mesma autoridade de certificação pública.
Como pode depurar isso ainda mais? Eu corri para algumas soluções onde eles pedem para instalar empresa no servidor (embora eu estou querendo saber por que um site funciona, mas outro não faz), mas não sei como instalar este certificado corretamente.
Alguém pode ajudar por favor?
Obrigado pela ajuda.
Você pode usar curl -k ... para ignorar as irregularidades do certificado.
Ou você pode usar curl --cacert <CA certificate> para fornecer o certificado CA da sua empresa.
Ou você pode adicionar o certificado CA da empresa a /etc/pki/tls/certs/ e executar make para disponibilizá-lo em todo o sistema.
Ah, e para recuperar a CA raiz da empresa, use: openssl s_client -connect git.company.com:443 -showcerts - que despejará todos os certificados na cadeia.