Gibt es eine Möglichkeit, Git anzuweisen, ein selbstsigniertes Zertifikat zu akzeptieren?

Ich verwende einen https-Server, um einen Git-Server zu hosten, aber im Moment ist das Zertifikat selbst signiert.

Wenn ich dort zum ersten Mal versuche, das Repo zu erstellen:

git push origin master -f

Ich bekomme den Fehler:

error: Cannot access URL     
https://the server/git.aspx/PocketReferences/, return code 22

fatal: git-http-push failed

Ein bestimmtes Zertifikat dauerhaft akzeptieren

Versuchen Sie es http.sslCAPathoder http.sslCAInfo. Die Antwort von Adam Spiers gibt einige gute Beispiele. Dies ist die sicherste Lösung für die Frage.

So deaktivieren Sie die TLS / SSL-Überprüfung für einen einzelnen Git-Befehl

Versuchen Sie -c, gitmit der richtigen Konfigurationsvariablen zu übergeben, oder verwenden Sie die Antwort von Flow :

git -c http.sslVerify=false clone https://example.com/path/to/git

So deaktivieren Sie die SSL-Überprüfung für ein bestimmtes Repository

Wenn das Repository vollständig unter Ihrer Kontrolle steht, können Sie Folgendes versuchen:

git config --global http.sslVerify false

Es gibt einige SSL-Konfigurationsoptionen in git. Aus der Manpage von git config:

http.sslVerify
    Whether to verify the SSL certificate when fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_NO_VERIFY environment variable.

http.sslCAInfo
    File containing the certificates to verify the peer with when fetching or pushing
    over HTTPS. Can be overridden by the GIT_SSL_CAINFO environment variable.

http.sslCAPath
    Path containing files with the CA certificates to verify the peer with when
    fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_CAPATH environment variable.

Einige andere nützliche SSL-Konfigurationsoptionen:

http.sslCert
    File containing the SSL certificate when fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_CERT environment variable.

http.sslKey
    File containing the SSL private key when fetching or pushing over HTTPS.
    Can be overridden by the GIT_SSL_KEY environment variable.

http.sslCertPasswordProtected
    Enable git's password prompt for the SSL certificate. Otherwise OpenSSL will
    prompt the user, possibly many times, if the certificate or private key is encrypted.
    Can be overridden by the GIT_SSL_CERT_PASSWORD_PROTECTED environment variable.

Sie können einstellen GIT_SSL_NO_VERIFYauf true:

GIT_SSL_NO_VERIFY=true git clone https://example.com/path/to/git

oder konfigurieren Sie Git alternativ so, dass die Verbindung in der Befehlszeile nicht überprüft wird:

git -c http.sslVerify=false clone https://example.com/path/to/git

Beachten Sie, dass Sie anfällig für MitM-Angriffe sind , wenn Sie SSL / TLS-Zertifikate nicht überprüfen .

Ich bin kein großer Fan der [EDIT: Originalversionen der] vorhandenen Antworten, da das Deaktivieren von Sicherheitsüberprüfungen ein letzter Ausweg sein sollte und nicht die erste angebotene Lösung. Auch wenn Sie selbstsignierten Zertifikaten beim ersten Empfang ohne eine zusätzliche Überprüfungsmethode nicht vertrauen können, giterschwert die Verwendung des Zertifikats für nachfolgende Vorgänge das Leben von Angriffen, die erst nach dem Herunterladen des Zertifikats auftreten, erheblich. Mit anderen Worten, wenn das Zertifikat , das Sie heruntergeladen ist echt, dann Sie ist gut von diesem Zeitpunkt an. Wenn Sie dagegen die Überprüfung einfach deaktivieren, sind Sie zu jedem Zeitpunkt offen für jede Art von Man-in-the-Middle-Angriff .

Um ein konkretes Beispiel zu nennen: Das berühmte repo.or.czRepository bietet ein selbstsigniertes Zertifikat . Ich kann diese Datei herunterladen, irgendwo platzieren /etc/ssl/certsund dann Folgendes tun:

# Initial clone
GIT_SSL_CAINFO=/etc/ssl/certs/rorcz_root_cert.pem \
    git clone https://repo.or.cz/org-mode.git

# Ensure all future interactions with origin remote also work
cd org-mode
git config http.sslCAInfo /etc/ssl/certs/rorcz_root_cert.pem

Beachten Sie, dass die Verwendung von local git confighier (dh ohne --global) bedeutet, dass dieses selbstsignierte Zertifikat nur für dieses bestimmte Repository vertrauenswürdig ist, was sehr hilfreich ist. Es ist auch besser als die Verwendung, GIT_SSL_CAPATHda das Risiko einer gitÜberprüfung durch eine andere Zertifizierungsstelle ausgeschlossen ist, die möglicherweise gefährdet sein könnte.

Konfiguration des selbstsignierten Git-Zertifikats

tl; dr

Deaktivieren Sie NIEMALS alle SSL-Überprüfungen!

Dies schafft eine schlechte Sicherheitskultur. Sei nicht diese Person.

Die Konfigurationsschlüssel, nach denen Sie suchen, sind:

• http.sslverify- Immer wahr. Siehe obigen Hinweis.

Diese dienen zum Konfigurieren von Host-Zertifikaten, denen Sie vertrauen

• http.sslCAPath
• http.sslCAInfo

Diese dienen zum Konfigurieren IHRES Zertifikats, um auf SSL-Herausforderungen zu reagieren.

• http.sslCert
• http.sslCertPasswordProtected

Wenden Sie die obigen Einstellungen selektiv auf bestimmte Hosts an.

• http.<url>.*

Global .gitconfigfür selbstsignierte Zertifizierungsstellen

Für mich und meine Kollegen ist es hier gelungen, selbstsignierte Zertifikate ohne Deaktivierung zum Laufen zu bringen sslVerify. Bearbeiten Sie Ihre.gitconfig mit: git config --global -eFügen Sie diese hinzu:

# Specify the scheme and host as a 'context' that only these settings apply
# Must use Git v1.8.5+ for these contexts to work
[credential "https://your.domain.com"]
  username = user.name

  # Uncomment the credential helper that applies to your platform
  # Windows
  # helper = manager

  # OSX
  # helper = osxkeychain

  # Linux (in-memory credential helper)
  # helper = cache

  # Linux (permanent storage credential helper)
  # https://askubuntu.com/a/776335/491772

# Specify the scheme and host as a 'context' that only these settings apply 
# Must use Git v1.8.5+ for these contexts to work
[http "https://your.domain.com"]
  ##################################
  # Self Signed Server Certificate #
  ##################################

  # MUST be PEM format
  # Some situations require both the CAPath AND CAInfo 
  sslCAInfo = /path/to/selfCA/self-signed-certificate.crt
  sslCAPath = /path/to/selfCA/
  sslVerify = true

  ###########################################
  # Private Key and Certificate information #
  ###########################################

  # Must be PEM format and include BEGIN CERTIFICATE / END CERTIFICATE, 
  # not just the BEGIN PRIVATE KEY / END PRIVATE KEY for Git to recognise it.
  sslCert = /path/to/privatekey/myprivatecert.pem

  # Even if your PEM file is password protected, set this to false.
  # Setting this to true always asks for a password even if you don't have one.
  # When you do have a password, even with this set to false it will prompt anyhow. 
  sslCertPasswordProtected = 0

Verweise:

• Git-Anmeldeinformationen
• Git Credential Store
• Verwenden des Gnome-Schlüsselbunds als Anmeldeinformationsspeicher
• Git Config http. <URl>. * Unterstützt von Git v1.8.5

Geben Sie beim git clone-ing die Konfiguration an

Wenn Sie es pro Repo anwenden müssen, werden Sie in der Dokumentation aufgefordert, es einfach git config --localin Ihrem Repo-Verzeichnis auszuführen . Nun, das ist nicht nützlich, wenn Sie das Repo noch nicht lokal geklont haben, oder?

Sie können das global -> localhokey-pokey ausführen, indem Sie Ihre globale Konfiguration wie oben festlegen und diese Einstellungen dann in Ihre lokale Repo-Konfiguration kopieren, sobald sie geklont ist ...

ODER Sie können Konfigurationsbefehle angebengit clone , die nach dem Klonen auf das Ziel-Repo angewendet werden.

# Declare variables to make clone command less verbose     
OUR_CA_PATH=/path/to/selfCA/
OUR_CA_FILE=$OUR_CA_PATH/self-signed-certificate.crt
MY_PEM_FILE=/path/to/privatekey/myprivatecert.pem
SELF_SIGN_CONFIG="-c http.sslCAPath=$OUR_CA_PATH -c http.sslCAInfo=$OUR_CA_FILE -c http.sslVerify=1 -c http.sslCert=$MY_PEM_FILE -c http.sslCertPasswordProtected=0"

# With this environment variable defined it makes subsequent clones easier if you need to pull down multiple repos.
git clone $SELF_SIGN_CONFIG https://mygit.server.com/projects/myproject.git myproject/

Einzeiler

EDIT: Siehe VonC ‚s Antwort , dass die Punkte aus einem Vorbehalt über absolute und relative Pfade für bestimmte git Versionen von 2.14.x / 2.15 auf diese Einzeiler

git clone -c http.sslCAPath="/path/to/selfCA" -c http.sslCAInfo="/path/to/selfCA/self-signed-certificate.crt" -c http.sslVerify=1 -c http.sslCert="/path/to/privatekey/myprivatecert.pem" -c http.sslCertPasswordProtected=0 https://mygit.server.com/projects/myproject.git myproject/

CentOS unable to load client key

Wenn Sie dies unter CentOS versuchen und Ihre .pemDatei Ihnen gibt

unable to load client key: "-8178 (SEC_ERROR_BAD_KEY)"

Dann möchten Sie diese StackOverflow-Antwort darüber, wie curlNSS anstelle von Open SSL verwendet wird.

Und Sie möchten aus der Quelle neu curlerstellen :

git clone http://github.com/curl/curl.git curl/
cd curl/
# Need these for ./buildconf
yum install autoconf automake libtool m4 nroff perl -y
#Need these for ./configure
yum install openssl-devel openldap-devel libssh2-devel -y

./buildconf
su # Switch to super user to install into /usr/bin/curl
./configure --with-openssl --with-ldap --with-libssh2 --prefix=/usr/
make
make install

Starten Sie den Computer neu, da sich libcurl noch als gemeinsam genutzte Bibliothek im Speicher befindet

Python, Pip und Conda

Verwandte Themen : Wie füge ich dem von pip in Windows verwendeten CA Store ein benutzerdefiniertes CA-Stammzertifikat hinzu?

Ich stoße immer wieder auf dieses Problem. Deshalb habe ich ein Skript geschrieben, um das selbstsignierte Zertifikat vom Server herunterzuladen und auf ~ / .gitcerts zu installieren. Aktualisieren Sie dann git-config, um auf diese Zertifikate zu verweisen. Es wird in der globalen Konfiguration gespeichert, sodass Sie es nur einmal pro Remote ausführen müssen.

https://github.com/iwonbigbro/tools/blob/master/bin/git-remote-install-cert.sh

Diese Antwort stammt aus diesem Artikel von Michael Kauffman.

Verwenden Sie Git für Windows mit einem SSL-Unternehmenszertifikat

Problem :

Wenn Sie ein SSL-Unternehmenszertifikat haben und Ihr Repo von der Konsole oder dem VSCode klonen möchten, wird die folgende Fehlermeldung angezeigt:

Schwerwiegend : Zugriff auf ' https: // myserver / tfs / DefaultCollection / _git / Proj / ' nicht möglich: Problem mit SSL-Zertifikat: Lokales Ausstellerzertifikat kann nicht abgerufen werden

Lösung :

1. Exportieren Sie das selbstsignierte Stammzertifikat in eine Datei. Sie können dies in Ihrem Browser tun.

2. Suchen Sie die Datei "ca-bundle.crt" in Ihrem Git-Ordner (aktuelle Version C: \ Programme \ Git \ usr \ ssl \ certs, wurde jedoch in der Vergangenheit geändert). Kopieren Sie die Datei in Ihr Benutzerprofil. Öffnen Sie es mit einem Texteditor wie VSCode und fügen Sie den Inhalt Ihres exportierten Zertifikats am Ende der Datei hinzu.

Jetzt müssen wir git konfigurieren, um die neue Datei zu verwenden:

git config --global http.sslCAInfo C:/Users/<yourname>/ca-bundle.crt

Dadurch wird der .gitconfig-Datei im Stammverzeichnis Ihres Benutzerprofils der folgende Eintrag hinzugefügt.

[http] sslCAInfo = C:/Users/<yourname>/ca-bundle.crt

So deaktivieren Sie die SSL-Überprüfung für ein bestimmtes Repository Wenn das Repository vollständig unter Ihrer Kontrolle steht, können Sie Folgendes versuchen:

 git config --global http.sslVerify false

Seien Sie vorsichtig , wenn Sie verwenden eine Auskleidung mit sslKey oder sslcert, wie in Josh Spitzen ‚s Antwort :

git clone -c http.sslCAPath="/path/to/selfCA" \
  -c http.sslCAInfo="/path/to/selfCA/self-signed-certificate.crt" \
  -c http.sslVerify=1 \
  -c http.sslCert="/path/to/privatekey/myprivatecert.pem" \
  -c http.sslCertPasswordProtected=0 \
https://mygit.server.com/projects/myproject.git myproject

Nur Git 2.14.x / 2.15 (Q3 2015) kann einen Pfad wie ~username/mykeykorrekt interpretieren (während es dennoch einen absoluten Pfad wie interpretieren kann /path/to/privatekey).

Siehe Commit 8d15496 (20. Juli 2017) von Junio ​​C Hamano ( gitster) .
Mit freundlicher Unterstützung von Charles Bailey ( hashpling) .
^{(Zusammengeführt von Junio ​​C Hamano - gitster- in Commit 17b1e1d , 11. August 2017)}

http.c: http.sslcertund http.sslkeysind beide Pfadnamen

Damals, als der moderne Codepfad http_options () erstellt wurde, um verschiedene http. * -Optionen unter 29508e1 ("Geteilte HTTP-Anforderungsfunktionalität isolieren", 2005-11-18, Git 0.99.9k) zu analysieren, und später für die Interaktion zwischen den mehreren korrigiert wurde Konfigurationsdateien in 7059cd9 ( " http_init(): Fix - Konfigurationsdatei Parsing", 2009-03-09, Git 1.6.3-RC0), wir analysierten Konfigurationsvariablen wie http.sslkey, http.sslcertals Plain - Vanilla - Strings, weil git_config_pathname()das versteht " ~[username]/" Präfix nicht existierte.

Später haben wir einige von ihnen (nämlich http.sslCAPathund http.sslCAInfo) konvertiert , um die Funktion zu verwenden, und Variablen hinzugefügt http.cookeyFile http.pinnedpubkey, die die Funktion von Anfang an verwenden möchten. Aus diesem Grund verstehen diese Variablen alle das ~[username]/Präfix " ".

Machen Sie die verbleibenden zwei Variablen http.sslcertund http.sslkeybeachten Sie auch die Konvention, da beide eindeutig Pfadnamen zu Dateien sind.

Fügen Sie unter Verwendung der 64-Bit-Version von Git unter Windows einfach das selbstsignierte CA-Zertifikat zu diesen Dateien hinzu:

• C: \ Programme \ Git \ mingw64 \ ssl \ certs \ ca-bundle.crt
• C: \ Programme \ Git \ mingw64 \ ssl \ certs \ ca-bundle.trust.crt

Wenn es sich nur um ein selbstsigniertes Serverzertifikat handelt, fügen Sie es hinzu

• C: \ Programme \ Git \ mingw64 \ ssl \ cert.pem

Überprüfen Sie Ihre Antiviren- und Firewall-Einstellungen.

Von einem Tag auf den anderen funktionierte Git nicht mehr. Mit dem, was oben beschrieben wurde, stellte ich fest, dass Kaspersky ein selbstsigniertes persönliches Antiviren-Stammzertifikat in die Mitte stellt. Ich habe es nicht geschafft, Git dieses Zertifikat gemäß den obigen Anweisungen akzeptieren zu lassen. Ich habe das aufgegeben. Für mich funktioniert das Deaktivieren der Funktion zum Scannen verschlüsselter Verbindungen.

1. Öffnen Sie Kaspersky
2. Einstellungen> Zusätzliche> Netzwerk> Scannen Sie keine verschlüsselten Verbindungen

Danach funktioniert git wieder mit aktiviertem sslVerify.

Hinweis. Dies ist für mich immer noch nicht zufriedenstellend, da ich diese Funktion meines Anti-Virus aktiv haben möchte. In den erweiterten Einstellungen zeigt Kaspersky eine Liste von Websites an, die mit dieser Funktion nicht funktionieren. Github ist nicht als einer von ihnen aufgeführt. Ich werde es im Kaspersky-Forum überprüfen. Es scheint einige Themen zu geben, z. B. https://forum.kaspersky.com/index.php?/topic/395220-kis-interfering-with-git/&tab=comments#comment-2801211

In der .gitconfig- Datei können Sie den unten angegebenen Wert hinzufügen, um das selbstsignierte Zertifikat akzeptabel zu machen

sslCAInfo = /home/XXXX/abc.crt

So mach ich es:

git init
git config --global http.sslVerify false
git clone https://myurl/myrepo.git

Unter Windows hat das bei mir funktioniert:

Fügen Sie den Inhalt Ihres selbstsignierten Zertifikats am Ende der Ca-Bundle- Datei hinzu. Einschließlich der Zeilen ----- BEGIN CERTIFICATE ----- und ----- END CERTIFICATE -----

Der Speicherort der Ca-Bundle- Datei ist normalerweise C: \ Programme \ Git \ mingw64 \ ssl \ certs

Fügen Sie anschließend den Pfad der Ca-Bundle- Datei zur globalen Git-Konfiguration hinzu. Der folgende Befehl macht den Trick:git config --global http.sslCAInfo "C:/Program Files/Git/mingw64/ssl/certs/ca-bundle.crt"

Anmerkung: Der Pfad hängt von Ihrem lokalen Pfad der Ca-Bundle-Datei ab!

Es ist keine gute Praxis, http.sslVerify auf false zu setzen. Stattdessen können wir ein SSL-Zertifikat verwenden.

Der Build Agent verwendet also https mit SSL-Zertifikat und PAT zur Authentifizierung.

Kopieren Sie den Inhalt der cer-Datei einschließlich –begin — und –end--.

git bash on build agent => git config –global http.sslcainfo “C: / Programme / Git / mingw64 / ssl / certs / ca-bundle.crt” Gehen Sie zu dieser Datei und hängen Sie den .cer-Inhalt an.

Somit kann der Build Agent auf das SSL-Zertifikat zugreifen

Meine Antwort mag spät sein, aber es hat bei mir funktioniert. Es kann jemandem helfen.

Ich habe die oben genannten Schritte ausprobiert und das Problem wurde dadurch nicht gelöst.

Versuche diesgit config --global http.sslVerify false

Ich benutze eine Windows-Maschine und dieser Artikel hat mir geholfen. Grundsätzlich habe ich ca-bundle.crt im Editor geöffnet und darin Kettenzertifikate hinzugefügt (alle). Dieses Problem tritt normalerweise in Unternehmensnetzwerken auf, in denen zwischen System und Git Repo mittlere Männer sitzen. Wir müssen alle Zertifikate in der Zertifikatskette mit Ausnahme von Blattzertifikaten im Basis 64-Format exportieren und alle zu ca-bundle.crt hinzufügen und dann git für diese geänderte CRT-Datei konfigurieren.