Невозможно решить «невозможно получить сертификат локального эмитента» с помощью git в Windows с самозаверяющим сертификатом

Question

Невозможно решить «невозможно получить сертификат локального эмитента» с помощью git в Windows с самозаверяющим сертификатом

195

Я использую git для Windows. Я установил пакет msysgit. У моего тестового репозитория есть собственный сертификат на сервере. Я могу получить доступ к репозиторию и использовать его без проблем. Перемещение на https дает ошибку "Ошибка SSL-сертификата: невозможно получить сертификат локального эмитента".

У меня есть собственный сертификат, установленный в доверенных корневых центрах сертификации моей клиентской машины Windows 7. Я могу просмотреть URL-адрес репозитория https в Internet Explorer без сообщений об ошибках.

В этом блоге http://blogs.msdn.com/b/phkelley/archive/2014/01/20/adding-a-corporate-or-self-signed-certificate-authority-to-git-exe-s-store.aspx объясняется, что завиток не использует хранилище сертификатов клиентского компьютера. Я следил за советом в блоге, чтобы создать приватную копию curl-ca-bundle.crt и настроить git, чтобы использовать его. Я уверен, что git использует мою копию. Если я переименую копию; git жалуется, что файл отсутствует.

Я вставил в свой сертификат, как указано в сообщении в блоге, я все еще получаю сообщение "неспособное получить сертификат локального эмитента".

Я проверил, что git все еще работает, клонируя репозиторий GitHub через https.

Единственное, что я вижу, что отличается от сообщения в блоге, это то, что мой сертификат является корнем - нет цепочки для его достижения. Первоначально мой сертификат был получен при нажатии на ссылку IIS Manager IIS Manager "Создавать подписанный сертификат". Возможно, это делает сертификат чем-то иным, чем то, что ожидает завиток.

Как я могу получить git/curl, чтобы принять самоподписанный сертификат?

RichardHowells 27 май 2014, в 09:54

Источник

0

Возможный дубликат конфигурации Git для принятия определенного самозаверяющего сертификата сервера для определенного удаленного https
jww 01 сен. 2017, в 03:37
0

Также проверьте, разрешено ли вашей локальной сети отправлять файлы в репозиторий github. Там могут быть некоторые ограничения брандмауэра или антивируса.
shasi kanth 06 март 2018, в 12:36

Теги:

curl

windows

git

ssl-certificate

msysgit

12 ответов

171

Откройте Git Bash и запустите команду, если вы хотите полностью отключить проверку SSL.

git config --global http.sslVerify false

Примечание. Это решение может открыть для вас атаки типа "человек посередине". Поэтому снова включите проверку как можно скорее:

git config --global http.sslVerify true

Samir 02 дек. 2015, в 17:56

37

Этот ответ наносит ущерб безопасности SSL, разрешая атаки «человек посередине». Другие ответы уже объясняют, как настроить git для доверия конкретному сертификату, который вам нужен.
dsh 04 дек. 2015, в 15:37
8

действительно ужасный ответ, вы даже не говорите им включить SSL. Вот почему происходят уязвимости в безопасности.
Edgar Aroutiounian 02 фев. 2016, в 23:22
0

Если вы используете Gitblit, тогда никакой другой опции вместо sshVerify false.
Samir 11 март 2016, в 06:28
11

Чтобы отключить проверку TLS / SSL для одной команды git, используйте следующую команду: git -c http.sslVerify=false clone https://domain.com/path/to/git
Maxim Suslov 30 июнь 2016, в 09:47
4

Пожалуйста, не делайте такого рода предложения в таком месте, где все десятилетиями читают ваши плохие советы. Люди, которые все еще учатся, изучат эту плохую практику.
Chris 30 март 2018, в 13:54
0

Ниже представлено несколько решений, и я уже предложил минусы. Так что вам решать, какие решения вы выбираете для решения проблемы.
Samir 31 март 2018, в 15:13
0

Что сработало для меня: git clone <addr of repo> --config http.proxy= --config http.sslVerify=false
EM-Creations 23 апр. 2018, в 12:51

Показать ещё 5 комментариев

84

У меня тоже была эта проблема. В моем случае я пытался получить post-receive Git hook для обновления рабочей копии на сервере с каждым нажатием. Пытался следовать инструкциям в блоге, с которым вы связались. Не работает и для меня, и переопределение настроек для каждого пользователя тоже не работает.

В результате мне пришлось отключить проверку SSL (как упоминается в статье) для Git в целом. Не идеальное решение, но оно будет работать, пока я не смогу найти лучшего.

Я отредактировал текстовый файл Git config (с моим любимым нейтральным текстом, например, Notepad ++), расположенным по адресу:

C:\Program Files (x86)\ Git\etc\gitconfig

В блоке [http] я добавил параметр для отключения sslVerify. Это было так, когда я закончил:

[http]
    sslVerify = false
    sslCAinfo = /bin/curl-ca-bundle.crt

Это трюк.

ПРИМЕЧАНИЕ.. Это отключает проверку SSL и не рекомендуется в качестве долгосрочного решения.

kiddailey 06 авг. 2014, в 05:04

114

Это противоречит цели SSL.
syaz 08 сен. 2014, в 07:00
49

вы можете использовать команду "git config --global http.sslVerify false", чтобы отключить проверку SSL
CleanCoder 21 окт. 2014, в 21:21
5

Спасибо за указание на sslCAinfo конфигурации sslCAinfo ; но я не одобряю ответ, так как бессмысленно постоянно отключать SSL для git для всей системы (пытались ли вы отключить его для всей системы, затем клонировать, затем снова включить и затем отключить в локальный конфиг git для вновь клонированного репо?).
7heo.tk 30 март 2015, в 00:19
33

Для одноразовой команды нет необходимости изменять конфигурационные файлы: git -c http.sslVerify=false clone https://...
pts 13 янв. 2016, в 20:23
0

@syaz Да, это необходимо, когда вы должны работать с серверами, управляемыми администраторами, которые не знают, что они делают, и вам нужно получить доступ к репозиториям на этом сервере, и порт 22 отключен на всех соединениях, даже на их собственных серверах, которые они иначе не могут обеспечить безопасность, по-видимому.
Spencer Williams 24 фев. 2016, в 20:40
8

Лучше исправить здесь: blogs.msdn.microsoft.com/phkelley/2014/01/20/…
Warren P 25 апр. 2016, в 16:55

Показать ещё 4 комментария

44

kiddailey Я думаю, что это было довольно близко, однако я бы не отключил проверку ssl, а скорее предоставил локальный сертификат:

В конфигурационном файле Git

[http]
    sslCAinfo = /bin/curl-ca-bundle.crt

Или через командную строку:

git config --global http.sslCAinfo /bin/curl-ca-bundle.crt

Oliver 03 нояб. 2014, в 09:39

3

В git для windows это git config --global http.sslCAinfo /usr/ssl/certs/ca-bundle.crt
Karsten Tinnefeld 29 сен. 2016, в 13:20
0

Или для меня git config --global http.sslCAinfo /c/Program\ Files\ \(x86\)/Git/bin/curl-ca-bundle.crt
sparrowt 24 нояб. 2016, в 10:31
0

Для пользователей MacPorts это git config --global http.sslCAinfo /opt/local/share/curl/curl-ca-bundle.crt
miken32 14 авг. 2017, в 22:43
2

С Git 2.8 вы можете использовать git config --list --show-origin чтобы увидеть, где установлен http.sslCAinfo config
Anish 15 авг. 2018, в 15:22
0

Расположение моего сертификата на Mac: ~ / macports / share / curl / curl-ca-bundle.crt
user3282611 28 авг. 2018, в 15:42

Показать ещё 3 комментария

36

Я тоже столкнулся с этой проблемой. И, наконец, решена, получив руководство из этого блога MSDN.

Обновить

На самом деле вам нужно добавить сертификат в файл сертификатов git curl-ca-bundel.cert, который находится в каталоге Git\bin.

меры

Откройте свою страницу github в браузере и нажмите на значок блокировки в адресной строке.
В открывшемся небольшом всплывающем окне перейдите по ссылке "просмотреть сертификат", откроется всплывающее окно.
В котором перейдите на вкладку сертификаты (3-й в моем случае). Выберите верхний узел, который является корневым сертификатом. И нажмите кнопку копирования сертификата внизу и сохраните файл.
В проводнике перейдите в каталог Git\bin и откройте curl-ca-bundle.crt в текстовом редакторе.
Откройте экспортированный файл сертификата (на шаге 3) также в текстовом редакторе.
Скопируйте весь контент из экспортированного сертификата в конец curl-ca-bundle.crt и сохраните.

Наконец, проверьте статус. Обратите внимание, что перед редактированием сделайте резервную копию файла curl-ca-bundle.crt, чтобы сохранить его в безопасности.

Nadeem Jamali 23 июнь 2015, в 19:05

3

"перейдите в каталог Git \ bin и откройте curl-ca-bundle.crt" В git \ bin нет curl-ca-bundle.crt!
Anton K 18 сен. 2015, в 18:38
0

@AntonK, если он не существует, создайте его самостоятельно в блокноте и переименуйте в curl-ca-bundle.crt. Другие шаги остаются такими же.
Nadeem Jamali 18 сен. 2015, в 20:03
13

@AntonK Он может называться просто ca-bundle.crt и находиться в mingw64\ssl\certs или mingw64\ssl\certs mingw32\ssl\certs .
Ian Kemp 04 нояб. 2015, в 10:46
0

Использовал это для Atlassian's SourceTree. Связанная установка GIT находится в папке% userprofile% \ appdata \ local \ attlassian \ sourcetree \ git_local. curl-ca-bundle.crt уже существует, добавлен мой экспортированный корневой сертификат в кодировке base64.
Xanothos 09 июнь 2016, в 11:31

Показать ещё 2 комментария

18

Чтобы полностью не отключать проверку ssl или дублировать/взламывать связанный файл сертификата CA, используемый git, вы можете экспортировать цепочку сертификатов хоста в файл и использовать git:

git config --global http.https://the.host.com/.sslCAInfo c:/users/me/the.host.com.cer

Если это не сработает, вы можете отключить проверку ssl только для хоста:

git config --global http.https://the.host.com/.sslVerify false

Примечание. При условии, что проверка ssl выключена, подлежит возможному человеку в середине атаки.

zionyx 01 фев. 2017, в 23:02

0

Возможно, стоит отметить, что опция --global не обязательна: если вы опустите --global , настройка применяется только к этому конкретному git-репо.
Wes Turner 03 март 2019, в 07:07

16

У меня была одна и та же проблема, но с использованием sourcetree на Windows. Аналогичные шаги для обычного GIT в Windows. Следуя следующим шагам, я смог решить эту проблему.

Получить дерево сертификатов сервера Это можно сделать, используя хром. Укажите адрес сервера. Нажмите на значок замка и просмотрите сертификаты. Экспортируйте всю цепочку сертификатов в формате файла с кодировкой base64 (PEM).
Добавьте сертификаты в цепочку доверия вашего конфигурационного файла доверия GIT Запустите "git config -list". найти конфигурацию "http.sslcainfo", это показывает, где находится файл доверия сертификата. Скопируйте все сертификаты в файл цепочки доверия, включая "-BEGIN-" и "-END-".
Убедитесь, что вы добавили целую цепочку сертификатов в файл сертификатов.

Это должно решить вашу проблему с самозаверяющими сертификатами и с помощью GIT.

Я попытался использовать конфигурацию "http.sslcapath", но это не сработало. Также, если я не включил всю цепочку в файл сертификатов, это также потерпит неудачу. Если у кого есть указатели на них, пожалуйста, дайте мне знать, как указано выше, для повторной установки.

Если это система GIT, то вы можете использовать опции в TOOLS → options GIt, чтобы использовать систему GIT, и это также решает проблему в sourcetree.

JamesD 19 июль 2016, в 15:02

2

«если бы я не включил всю цепочку в файл сертификатов, то это тоже не получится» - я просто столкнулся с этой проблемой
Amani Kilumanga 15 нояб. 2016, в 02:09
0

Что касается всей цепочки, у меня есть два сертификата над сертификатом github. Нужно ли включать их по порядку как root-> next cert-> github cert в файл sslcainfo.crt?
Jecoms 06 дек. 2016, в 20:51
0

Я смог получить доступ к пакетам git repo, просто добавив корневой сертификат.
Jecoms 06 дек. 2016, в 21:57

Показать ещё 1 комментарий

15

Проблема в том, что git по умолчанию использует криптографический бэкэнд "Linux".

Начиная с Git для Windows 2.14, теперь вы можете настроить Git для использования SChannel, встроенного сетевого уровня Windows в качестве криптобэкэнда. Это означает, что вы будете использовать механизм хранения сертификатов Windows, и вам не нужно явно настраивать механизм хранения curl CA: https://msdn.microsoft.com/en-us/library/windows/desktop/aa380123(v= vs.85).aspx

Просто выполните:

git config --global http.sslbackend schannel

Это должно помочь.

Использование schannel в настоящее время является стандартной настройкой при установке git для windows, также рекомендуется по возможности не извлекать хранилища по SSH, поскольку https проще в настройке и с меньшей вероятностью блокируется брандмауэром, что означает меньшую вероятность сбоя.

Ihor Zenich 30 окт. 2018, в 13:05

4

Вы заслуживаете еще много голосов
Gabriel 30 окт. 2018, в 19:34
0

Это сработало отлично, спасибо :)
Ramnath 14 дек. 2018, в 12:50
0

это супер простое решение сделало это. И это чувствует себя хорошо.
Decrayer 06 фев. 2019, в 13:14
0

Однако обратите внимание, что это решение может привести к git config --global http.sslCAInfo <my-server-self-signed-cert.pem> . Я настроил http.sslCAInfo для использования самозаверяющего сертификата для своего сервера, и по этой причине (может не совпадать с OP) я столкнулся с «проблемой SSL-сертификата: невозможно получить сертификат локального эмитента» при выполнении, например, git clone https://github.com/Microsoft/vscode.git . Наконец, я использовал ответ от stackoverflow.com/a/47196562/1323552 (Бен П.П. Тунг), чтобы настроить мою конфигурацию sslCAInfo, специфичную для моего git-сервера, для ее решения.
Johnny Wong 15 фев. 2019, в 07:36

Показать ещё 2 комментария

6

В случае GitHub Repositories (или любых неподписанных сертификатов), выбрав приведенное ниже при установке Git-on-windows, удалось решить проблему.

Jawad Al Shaikh 15 авг. 2017, в 15:43

0

Вы, похоже, ответили на другой вопрос. Вопрос ОП касался самозаверяющих сертификатов на клиентах Windows.
jww 01 сен. 2017, в 03:44
0

@jww заголовок вопроса - это сообщение об ошибке git, которое отображается, даже если репозиторий НЕ является самозаверяющим SSL!
Jawad Al Shaikh 03 сен. 2017, в 14:49
0

Это заставило меня пропустить ошибку, но для доступа к GitHub Enterprise потребовалось некоторое генерирование ключей и добавление открытых / закрытых ключей.
ΩmegaMan 19 фев. 2018, в 23:57

Показать ещё 1 комментарий

3

У меня была эта проблема раньше, и решить ее, используя следующую конфигурацию.

[http "https://your.domain"] sslCAInfo=/path/to/your/domain/priviate-certificate

Так как git 2.3.1, вы можете поместить https://your.domain после http, чтобы указать, что следующий сертификат предназначен только для него.

Ben P.P. Tung 09 нояб. 2017, в 08:21

0

Это самое простое и точное решение, которое я нашел, если вы ранее настраивали git config --global http.sslCAInfo <your-server-self-signed-cert.pem> (следовательно, возникает ошибка «невозможно получить сертификат локального эмитента») )
Johnny Wong 15 фев. 2019, в 07:33

1

Загрузить сертификат по этой ссылке: https://github.com/bagder/ca-bundle
Добавьте его в C:\Program Files\Git\bin и C:\Program Files\Git\mingw64\bin

Затем попробуйте что-то вроде: git clone https://github.com/heroku/node-js-getting-started.git

Alex 06 май 2017, в 17:04

-5

Используйте эту команду, прежде чем запускать обновление/установку композитора:

git config --global http.sslverify false

Prashant Paliwal 23 март 2017, в 11:09

Ещё вопросы

Возможный дубликат конфигурации Git для принятия определенного самозаверяющего сертификата сервера для определенного удаленного https
Также проверьте, разрешено ли вашей локальной сети отправлять файлы в репозиторий github. Там могут быть некоторые ограничения брандмауэра или антивируса.
Этот ответ наносит ущерб безопасности SSL, разрешая атаки «человек посередине». Другие ответы уже объясняют, как настроить git для доверия конкретному сертификату, который вам нужен.
действительно ужасный ответ, вы даже не говорите им включить SSL. Вот почему происходят уязвимости в безопасности.
Если вы используете Gitblit, тогда никакой другой опции вместо sshVerify false.
Чтобы отключить проверку TLS / SSL для одной команды git, используйте следующую команду: git -c http.sslVerify=false clone https://domain.com/path/to/git
Пожалуйста, не делайте такого рода предложения в таком месте, где все десятилетиями читают ваши плохие советы. Люди, которые все еще учатся, изучат эту плохую практику.
Ниже представлено несколько решений, и я уже предложил минусы. Так что вам решать, какие решения вы выбираете для решения проблемы.
Что сработало для меня: git clone <addr of repo> --config http.proxy= --config http.sslVerify=false
вы можете использовать команду "git config --global http.sslVerify false", чтобы отключить проверку SSL
Спасибо за указание на sslCAinfo конфигурации sslCAinfo ; но я не одобряю ответ, так как бессмысленно постоянно отключать SSL для git для всей системы (пытались ли вы отключить его для всей системы, затем клонировать, затем снова включить и затем отключить в локальный конфиг git для вновь клонированного репо?).
Для одноразовой команды нет необходимости изменять конфигурационные файлы: git -c http.sslVerify=false clone https://...
@syaz Да, это необходимо, когда вы должны работать с серверами, управляемыми администраторами, которые не знают, что они делают, и вам нужно получить доступ к репозиториям на этом сервере, и порт 22 отключен на всех соединениях, даже на их собственных серверах, которые они иначе не могут обеспечить безопасность, по-видимому.
Лучше исправить здесь: blogs.msdn.microsoft.com/phkelley/2014/01/20/…
В git для windows это git config --global http.sslCAinfo /usr/ssl/certs/ca-bundle.crt
Или для меня git config --global http.sslCAinfo /c/Program\ Files\ \(x86\)/Git/bin/curl-ca-bundle.crt
Для пользователей MacPorts это git config --global http.sslCAinfo /opt/local/share/curl/curl-ca-bundle.crt
С Git 2.8 вы можете использовать git config --list --show-origin чтобы увидеть, где установлен http.sslCAinfo config
Расположение моего сертификата на Mac: ~ / macports / share / curl / curl-ca-bundle.crt
"перейдите в каталог Git \ bin и откройте curl-ca-bundle.crt" В git \ bin нет curl-ca-bundle.crt!
@AntonK, если он не существует, создайте его самостоятельно в блокноте и переименуйте в curl-ca-bundle.crt. Другие шаги остаются такими же.
@AntonK Он может называться просто ca-bundle.crt и находиться в mingw64\ssl\certs или mingw64\ssl\certs mingw32\ssl\certs .
Использовал это для Atlassian's SourceTree. Связанная установка GIT находится в папке% userprofile% \ appdata \ local \ attlassian \ sourcetree \ git_local. curl-ca-bundle.crt уже существует, добавлен мой экспортированный корневой сертификат в кодировке base64.
Возможно, стоит отметить, что опция --global не обязательна: если вы опустите --global , настройка применяется только к этому конкретному git-репо.
«если бы я не включил всю цепочку в файл сертификатов, то это тоже не получится» - я просто столкнулся с этой проблемой
Что касается всей цепочки, у меня есть два сертификата над сертификатом github. Нужно ли включать их по порядку как root-> next cert-> github cert в файл sslcainfo.crt?
Я смог получить доступ к пакетам git repo, просто добавив корневой сертификат.
Вы заслуживаете еще много голосов
это супер простое решение сделало это. И это чувствует себя хорошо.
Однако обратите внимание, что это решение может привести к git config --global http.sslCAInfo <my-server-self-signed-cert.pem> . Я настроил http.sslCAInfo для использования самозаверяющего сертификата для своего сервера, и по этой причине (может не совпадать с OP) я столкнулся с «проблемой SSL-сертификата: невозможно получить сертификат локального эмитента» при выполнении, например, git clone https://github.com/Microsoft/vscode.git . Наконец, я использовал ответ от stackoverflow.com/a/47196562/1323552 (Бен П.П. Тунг), чтобы настроить мою конфигурацию sslCAInfo, специфичную для моего git-сервера, для ее решения.
Вы, похоже, ответили на другой вопрос. Вопрос ОП касался самозаверяющих сертификатов на клиентах Windows.
@jww заголовок вопроса - это сообщение об ошибке git, которое отображается, даже если репозиторий НЕ является самозаверяющим SSL!
Это заставило меня пропустить ошибку, но для доступа к GitHub Enterprise потребовалось некоторое генерирование ключей и добавление открытых / закрытых ключей.
Это самое простое и точное решение, которое я нашел, если вы ранее настраивали git config --global http.sslCAInfo <your-server-self-signed-cert.pem> (следовательно, возникает ошибка «невозможно получить сертификат локального эмитента») )

RichardHowells · Accepted Answer · 2014-05-27T17-08-00.000Z

Ответ на этот вопрос Использование makecert для разработки SSL исправил это для меня.

Я не знаю, почему, но сертификат, созданный простой ссылкой "Создать самостоятельный сертификат" в диспетчере IIS, не делает этого. Я следовал подходу в связанном вопросе о создании и установке самозаверяющего CA Root; затем с помощью этого выдать сертификат аутентификации сервера для моего сервера. Я установил их оба в IIS.

Это делает мою ситуацию такой же, как и запись в блоге, на которую ссылается исходный вопрос. После того, как корневой сертификат был скопирован/вставлен в curl-ca-bundle.crt, команда git/curl была удовлетворена.

«Я не знаю почему, но сертификат, созданный с помощью простой ссылки« Создать самоподписанный сертификат »в IIS Manager, не справляется с задачей…» - лучшее, что я могу сказать, это создание искаженных сертификатов. Существует множество правил при создании сертификатов X.509; «Сделай минимум, чтобы заставить его работать» больше не работает хорошо. См. Также раздел Как подписать запрос на подпись сертификата в вашем центре сертификации и как создать самозаверяющий сертификат с помощью openssl?
Это сработало для меня, но я был временно зациклен на части «Я установил их обоих в IIS». Для подтверждения других ... серверный сертификат назначен в IIS, а корневой ЦС необходимо импортировать в «Доверенные корневые центры сертификации» с помощью утилиты диспетчера сертификатов Windows (certmgr.msc).