Usando Git, ¿hay alguna manera de decirle que acepte un certificado autofirmado?

Estoy usando un servidor https para alojar un servidor git pero por ahora el certificado está autofirmado.

Cuando intento crear el repositorio allí por primera vez:

git push origin master -f

Me sale el error:

error: Cannot access URL     
https://the server/git.aspx/PocketReferences/, return code 22

fatal: git-http-push failed

Para aceptar permanentemente un certificado específico

Prueba http.sslCAPatho http.sslCAInfo. La respuesta de Adam Spires da algunos buenos ejemplos. Esta es la solución más segura a la pregunta.

Para deshabilitar la verificación TLS / SSL para un solo comando git

intente pasar -ca gitcon la variable de configuración adecuada, o use la respuesta de Flow :

git -c http.sslVerify=false clone https://example.com/path/to/git

Para deshabilitar la verificación SSL para un repositorio específico

Si el repositorio está completamente bajo su control, puede intentar:

git config --global http.sslVerify false

Hay bastantes opciones de configuración SSL en git. De la página del manual de git config:

http.sslVerify
    Whether to verify the SSL certificate when fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_NO_VERIFY environment variable.

http.sslCAInfo
    File containing the certificates to verify the peer with when fetching or pushing
    over HTTPS. Can be overridden by the GIT_SSL_CAINFO environment variable.

http.sslCAPath
    Path containing files with the CA certificates to verify the peer with when
    fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_CAPATH environment variable.

Algunas otras opciones de configuración SSL útiles:

http.sslCert
    File containing the SSL certificate when fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_CERT environment variable.

http.sslKey
    File containing the SSL private key when fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_KEY environment variable.

http.sslCertPasswordProtected
    Enable git's password prompt for the SSL certificate. Otherwise OpenSSL will
    prompt the user, possibly many times, if the certificate or private key is encrypted.
    Can be overridden by the GIT_SSL_CERT_PASSWORD_PROTECTED environment variable.

Puedes configurarlo GIT_SSL_NO_VERIFYpara true:

GIT_SSL_NO_VERIFY=true git clone https://example.com/path/to/git

o, alternativamente, configure Git para que no verifique la conexión en la línea de comando:

git -c http.sslVerify=false clone https://example.com/path/to/git

Tenga en cuenta que si no verifica los certificados SSL / TLS, entonces es susceptible a los ataques MitM .

No soy un gran fanático de [EDITAR: versiones originales de las] respuestas existentes, porque deshabilitar las comprobaciones de seguridad debería ser el último recurso, no la primera solución ofrecida. Aunque no puede confiar en los certificados autofirmados en el primer recibo sin algún método adicional de verificación, el uso del certificado para gitoperaciones posteriores al menos hace la vida mucho más difícil para los ataques que solo ocurren después de haber descargado el certificado. En otras palabras, si el certificado que descargaste es genuino, entonces eres bueno a partir de ese momento. Por el contrario, si simplemente deshabilita la verificación, está abierto a cualquier tipo de ataque de hombre en el medio en cualquier momento .

Para dar un ejemplo específico: el famoso repo.or.czrepositorio proporciona un certificado autofirmado . Puedo descargar ese archivo, colocarlo en algún lugar como /etc/ssl/certs, y luego hacer:

# Initial clone
GIT_SSL_CAINFO=/etc/ssl/certs/rorcz_root_cert.pem \
    git clone https://repo.or.cz/org-mode.git

# Ensure all future interactions with origin remote also work
cd org-mode
git config http.sslCAInfo /etc/ssl/certs/rorcz_root_cert.pem

Tenga en cuenta que el uso local git configaquí (es decir, sin --global) significa que este certificado autofirmado solo es confiable para este repositorio en particular, lo cual es bueno. También es más agradable que usar, GIT_SSL_CAPATHya que elimina el riesgo de githacer la verificación a través de una Autoridad de certificación diferente que podría verse comprometida.

Configuración de certificado autofirmado de Git

tl; dr

¡NUNCA deshabilite toda la verificación SSL!

Esto crea una mala cultura de seguridad. No seas esa persona.

Las claves de configuración que busca son:

• http.sslverify- Siempre cierto. Ver nota anterior.

Estos son para configurar certificados de host en los que confía

• http.sslCAPath
• http.sslCAInfo

Estos son para configurar SU certificado para responder a los desafíos de SSL.

• http.sslCert
• http.sslCertPasswordProtected

Aplicar selectivamente la configuración anterior a hosts específicos.

• http.<url>.*

Global .gitconfigpara autoridades de certificación autofirmadas

Por mi bien y el de mis colegas, aquí es cómo logramos que funcionen los certificados autofirmados sin desactivar sslVerify . Edite su.gitconfig para usar git config --global -eagregar estos:

# Specify the scheme and host as a 'context' that only these settings apply
# Must use Git v1.8.5+ for these contexts to work
[credential "https://your.domain.com"]
  username = user.name

  # Uncomment the credential helper that applies to your platform
  # Windows
  # helper = manager

  # OSX
  # helper = osxkeychain

  # Linux (in-memory credential helper)
  # helper = cache

  # Linux (permanent storage credential helper)
  # https://askubuntu.com/a/776335/491772

# Specify the scheme and host as a 'context' that only these settings apply 
# Must use Git v1.8.5+ for these contexts to work
[http "https://your.domain.com"]
  ##################################
  # Self Signed Server Certificate #
  ##################################

  # MUST be PEM format
  # Some situations require both the CAPath AND CAInfo 
  sslCAInfo = /path/to/selfCA/self-signed-certificate.crt
  sslCAPath = /path/to/selfCA/
  sslVerify = true

  ###########################################
  # Private Key and Certificate information #
  ###########################################

  # Must be PEM format and include BEGIN CERTIFICATE / END CERTIFICATE, 
  # not just the BEGIN PRIVATE KEY / END PRIVATE KEY for Git to recognise it.
  sslCert = /path/to/privatekey/myprivatecert.pem

  # Even if your PEM file is password protected, set this to false.
  # Setting this to true always asks for a password even if you don't have one.
  # When you do have a password, even with this set to false it will prompt anyhow. 
  sslCertPasswordProtected = 0

Referencias

• Credenciales de Git
• Tienda de credenciales de Git
• Usando Gnome Keyring como almacén de credenciales
• Git Config http. <url>. * Compatible con Git v1.8.5

Especifique config cuando git clone -ing

Si necesita aplicarlo por repositorio, la documentación le indica que simplemente ejecute git config --local en su directorio de repositorio. Bueno, eso no es útil cuando todavía no ha clonado el repositorio localmente, ¿verdad?

Puedes hacer el global -> local hokey-pokey configurando su configuración global como se indica arriba y luego copiar esa configuración a su configuración de repositorio local una vez que clona ...

O lo que puede hacer es especificar los comandos de configuracióngit clone que se aplican al repositorio de destino una vez que se clona.

# Declare variables to make clone command less verbose     
OUR_CA_PATH=/path/to/selfCA/
OUR_CA_FILE=$OUR_CA_PATH/self-signed-certificate.crt
MY_PEM_FILE=/path/to/privatekey/myprivatecert.pem
SELF_SIGN_CONFIG="-c http.sslCAPath=$OUR_CA_PATH -c http.sslCAInfo=$OUR_CA_FILE -c http.sslVerify=1 -c http.sslCert=$MY_PEM_FILE -c http.sslCertPasswordProtected=0"

# With this environment variable defined it makes subsequent clones easier if you need to pull down multiple repos.
git clone $SELF_SIGN_CONFIG https://mygit.server.com/projects/myproject.git myproject/

Un trazador de líneas

EDITAR: Vea la respuesta de VonC que señala una advertencia sobre las rutas absolutas y relativas para versiones específicas de git desde 2.14.x / 2.15 a este único trazador de líneas

git clone -c http.sslCAPath="/path/to/selfCA" -c http.sslCAInfo="/path/to/selfCA/self-signed-certificate.crt" -c http.sslVerify=1 -c http.sslCert="/path/to/privatekey/myprivatecert.pem" -c http.sslCertPasswordProtected=0 https://mygit.server.com/projects/myproject.git myproject/

CentOS unable to load client key

Si está intentando esto en CentOS y su .pemarchivo le está dando

unable to load client key: "-8178 (SEC_ERROR_BAD_KEY)"

Entonces querrá esta respuesta de StackOverflow sobre cómo curlusa NSS en lugar de Open SSL.

Y te gustaría querer reconstruir curldesde la fuente :

git clone http://github.com/curl/curl.git curl/
cd curl/
# Need these for ./buildconf
yum install autoconf automake libtool m4 nroff perl -y
#Need these for ./configure
yum install openssl-devel openldap-devel libssh2-devel -y

./buildconf
su # Switch to super user to install into /usr/bin/curl
./configure --with-openssl --with-ldap --with-libssh2 --prefix=/usr/
make
make install

reiniciar la computadora ya que libcurl todavía está en la memoria como una biblioteca compartida

Python, pip y conda

Relacionado : ¿Cómo agregar un certificado de CA Root personalizado a la Tienda de CA utilizada por pip en Windows?

Sigo encontrando este problema, así que escribí un script para descargar el certificado autofirmado del servidor e instalarlo en ~ / .gitcerts, luego actualizar git-config para que apunte a estos certificados. Está almacenado en la configuración global, por lo que solo necesita ejecutarlo una vez por control remoto.

https://github.com/iwonbigbro/tools/blob/master/bin/git-remote-install-cert.sh

Esta respuesta está extraída de este artículo escrito por Michael Kauffman.

Use Git para Windows con un certificado SSL corporativo

Problema :

Si tiene un certificado SSL corporativo y desea clonar su repositorio desde la consola o VSCode, obtendrá el siguiente error:

fatal: no se puede acceder a ' https: // myserver / tfs / DefaultCollection / _git / Proj / ': problema con el certificado SSL: no se puede obtener el certificado del emisor local

Solución :

1. Exporte el certificado autofirmado raíz a un archivo. Puede hacerlo desde su navegador.

2. Busque el archivo "ca-bundle.crt" en su carpeta git (versión actual C: \ Archivos de programa \ Git \ usr \ ssl \ certs pero ha cambiado en el pasado). Copie el archivo a su perfil de usuario. Ábralo con un editor de texto como VSCode y agregue el contenido de su certificado exportado al final del archivo.

Ahora tenemos que configurar git para usar el nuevo archivo:

git config --global http.sslCAInfo C:/Users/<yourname>/ca-bundle.crt

Esto agregará la siguiente entrada a su archivo .gitconfig en la raíz de su perfil de usuario.

[http] sslCAInfo = C:/Users/<yourname>/ca-bundle.crt

Para deshabilitar la verificación SSL para un repositorio específico Si el repositorio está completamente bajo su control, puede intentar:

 git config --global http.sslVerify false

Tenga cuidado cuando esté usando un revestimiento usando sslKey o sslCert, como en la respuesta de Josh Peak :

git clone -c http.sslCAPath="/path/to/selfCA" \
  -c http.sslCAInfo="/path/to/selfCA/self-signed-certificate.crt" \
  -c http.sslVerify=1 \
  -c http.sslCert="/path/to/privatekey/myprivatecert.pem" \
  -c http.sslCertPasswordProtected=0 \
https://mygit.server.com/projects/myproject.git myproject

Solo Git 2.14.x / 2.15 (Q3 2015) podría interpretar una ruta como ~username/mykeycorrectamente (mientras que todavía puede interpretar una ruta absoluta como/path/to/privatekey ).

Ver commit 8d15496 (20 de julio de 2017) por Junio ​​C Hamano ( gitster) .
Ayudado por: Charles Bailey ( hashpling) .
^{(Fusión por Junio ​​C Hamano - gitster- en commit 17b1e1d , 11 ago 2017)}

http.c: http.sslcerty http.sslkeyson ambos nombres de ruta

Cuando se creó la ruta de código moderna http_options () para analizar varias opciones http. * En 29508e1 ("Aislar la funcionalidad de solicitud HTTP compartida", 2005-11-18, Git 0.99.9k), y luego se corrigió la interacción entre los múltiples archivos de configuración en 7059cd9 (" http_init(): Reparar el análisis del archivo de configuración", 2009-03-09, Git 1.6.3-rc0), analizamos variables de configuración como http.sslkey, por http.sslcertejemplo, cadenas simples, porque git_config_pathname()eso comprende que el ~[username]/prefijo " " no existía.

Más tarde, convertimos algunos de ellos (a saber, http.sslCAPathy http.sslCAInfo) para usar la función, y agregamos variables como http.cookeyFile http.pinnedpubkeyusar la función desde el principio. Por eso, todas estas variables entienden el ~[username]/prefijo " ".

Haga las dos variables restantes http.sslcerty http.sslkey, también consciente de la convención, ya que ambas son claramente rutas de acceso a los archivos.

Usando la versión de 64 bits de Git en Windows, solo agregue el certificado CA autofirmado en estos archivos:

• C: \ Archivos de programa \ Git \ mingw64 \ ssl \ certs \ ca-bundle.crt
• C: \ Archivos de programa \ Git \ mingw64 \ ssl \ certs \ ca-bundle.trust.crt

Si es solo un certificado autofirmado del servidor, agréguelo a

• C: \ Archivos de programa \ Git \ mingw64 \ ssl \ cert.pem

Verifique la configuración de su antivirus y firewall.

De un día para otro, git ya no funcionaba. Con lo que se describió anteriormente, descubrí que Kaspersky coloca un certificado raíz personal de antivirus autofirmado en el medio. No logré dejar que Git aceptara ese certificado siguiendo las instrucciones anteriores. Me di por vencido con eso. Lo que funciona para mí es desactivar la función para escanear conexiones cifradas.

1. Abra Kaspersky
2. Configuración> Adicional> Red> No escanear conexiones cifradas

Después de esto, git funciona nuevamente con sslVerify habilitado.

Nota. Esto todavía no me satisface, porque me gustaría tener activada esa característica de mi antivirus. En la configuración avanzada, Kaspersky muestra una lista de sitios web que no funcionarán con esa función. Github no figura como uno de ellos. Lo comprobaré en el foro de Kaspersky. Parece que hay algunos temas, por ejemplo, https://forum.kaspersky.com/index.php?/topic/395220-kis-interfering-with-git/&tab=comments#comment-2801211

En el .gitconfig archivo puede agregar el valor dado a continuación para que aceptable

sslCAInfo = /home/XXXX/abc.crt

Lo hago así:

git init
git config --global http.sslVerify false
git clone https://myurl/myrepo.git

En Windows esto funcionó para mí:

Agregue el contenido de su certificado autofirmado al final del archivo ca-bundle . Incluyendo el ----- COMENZAR CERTIFICADO ----- y ----- FINALIZAR CERTIFICADO ----- líneas

La ubicación del archivo ca-bundle suele ser C: \ Archivos de programa \ Git \ mingw64 \ ssl \ certs

Luego, agregue la ruta del paquete ca archivo a la configuración global de git. El siguiente comando hace el truco:git config --global http.sslCAInfo "C:/Program Files/Git/mingw64/ssl/certs/ca-bundle.crt"

Observación: ¡La ruta depende de su ruta local del archivo ca-bundle!

Yo uso una máquina Windows y este artículo me ayudó. Básicamente abrí ca-bundle.crt en el bloc de notas y agregué certificados de cadena en él (todos ellos). Este problema generalmente ocurre para las redes de la compañía donde tenemos intermediarios sentados entre el sistema y el repositorio de git. Necesitamos exportar todos los certificados en la cadena de certificados, excepto el certificado de hoja en formato base 64 y agregarlos a ca-bundle.crt y luego configurar git para este archivo crt modificado.

No es una buena práctica establecer http.sslVerify falso. En cambio, podemos usar el certificado SSL.

Por lo tanto, el agente de compilación usará https con certificado SSL y PAT para la autenticación.

Copie el contenido del archivo cer incluyendo –begin — y –end--.

git bash on build agent => git config –global http.sslcainfo "C: / Archivos de programa / Git / mingw64 / ssl / certs / ca-bundle.crt" Vaya a este archivo y agregue el contenido .cer.

Por lo tanto, el agente de compilación puede acceder al certificado SSL

Mi respuesta puede llegar tarde pero funcionó para mí. Puede ayudar a alguien.

Intenté los pasos mencionados anteriormente y eso no resolvió el problema.

prueba estogit config --global http.sslVerify false