Cómo arreglar curl: (60) certificado SSL: cadena de certificados no válida al usar sudo

Entonces, dado que el curl de actualización de Mavericks tiene más problemas con los certificados.

Al intentar curvar un archivo de mi servidor web con su certificado autofirmado, recibía el error "Certificado SSL: cadena de certificados no válida".

Esto se corrigió agregando el certificado al llavero de mi sistema y configurándolo para permitir siempre SSL, información que encontré aquí y aquí .

Esto funciona bien y cuando doblo un archivo, se descarga correctamente.

Sin embargo, si ejecuto curl con sudo antes (por ejemplo, tengo un script que necesita ejecutarse con sudo y hace un curl en él), entonces vuelvo al mismo mensaje de error.

Supongo que quizás la raíz no lea del llavero del sistema.

¿Alguien sabe una manera de arreglar esto?

Si almacena sus certificados de CA en el sistema de archivos (en formato PEM) puede decirle a curl que los use con

sudo curl --cacert /path/to/cacert.pem ...

También puede desactivar la verificación del certificado con

sudo curl --insecure ...

Editar: actualizado con respecto a los comentarios

Si desea configurarlo permanentemente, debe crear un .curlrcarchivo y colocarlo en su directorio de inicio. sudolos comandos pueden necesitar este archivo en /var/rootEl archivo toma las mismas opciones que la línea de comando pero sin los guiones. Una opción por línea:

cacert=/path/to/my/certs.pem

La raíz no lee desde la configuración de confianza del usuario actual, pero hay una configuración de confianza de administrador y una configuración de confianza específica del usuario raíz. (Estos también son distintos de la configuración de confianza del sistema ). Tenga en cuenta, también, que la configuración de confianza del certificado es algo distinta de simplemente agregar un certificado a un llavero; puede marcar un certificado como confiable sin agregarlo por completo. (La situación exacta aquí no está clara para mí, y los documentos que he visto son vagos).

Puede marcar un certificado como confiable para su usuario actual como

$ security add-trusted-cert /path/to/cert.pem

Pero eso no ayuda con la raíz. La solución, como puede suponer ahora, es sudola anterior, que la marca específicamente como confiable para el usuario root:

$ sudo security add-trusted-cert /path/to/cert.pem

o para usar el -dindicador para agregarlo a la configuración de confianza del administrador:

$ security add-trusted-cert -d /path/to/cert.pem

(OS X abrirá un cuadro de diálogo de contraseña para confirmar este).

Cualquiera de los dos últimos parece ser suficiente para sudo curl.

Referencia: https://developer.apple.com/library/mac/Documentation/Darwin/Reference/ManPages/man1/security.1.html

Esto es realmente en la pista de salida:

echo insecure >> ~/.curlrc

La ventaja de usar la solución anterior es que funciona para todos los curlcomandos, pero no se recomienda ya que puede introducir ataques MITM al conectarse a hosts inseguros y no confiables.

Si usa MacPorts (y el script de terceros que mencionó no lo elimina $PATHni llama /usr/bin/curl), puede instalar los puertos certsyncy curlen este orden.

certsynces una herramienta y una lista de lanzamiento correspondiente que exportará el llavero de su sistema $prefix/etc/openssl/cert.peme instalará un enlace simbólico $prefix/share/curl/curl-ca-bundle.crt -> $prefix/etc/openssl/cert.pempara que MacPorts curl recoja automáticamente los certificados. certsynctambién actualizará automáticamente los archivos generados cuando cambie el llavero de su sistema.

La documentación que busca está aquí. Explica cómo usar cURL en Mavericks y cómo suministrar sus certificados: http://curl.haxx.se/mail/archive-2013-10/0036.html

Para hacer el sudo curltrabajo (en OSX Sierra), tuvimos que importar el certificado System.keychainy confiar allí. Esto se puede hacer manualmente en la aplicación Keychain o usando este comando:

sudo security add-trusted-cert -d -k /Library/Keychains/System.keychain /path/to/cert.pem

Era importante especificar -dy establecer manualmente la ruta al llavero del sistema -kpara asegurarse de que el certificado realmente se importe allí si aún no lo está.

El comando funciona sin él sudo, pero luego solicitaría la contraseña a través de un cuadro de diálogo de la interfaz de usuario, que podría ser un obstáculo para los scripts.