Come risolvere arricciatura: (60) Certificato SSL: catena di certificati non valida quando si utilizza sudo

Se archivi i certificati CA sul filesystem (in formato PEM) puoi dire a curl di usarli con

sudo curl --cacert /path/to/cacert.pem ...

Puoi anche disattivare la verifica del certificato con

sudo curl --insecure ...

Modifica: aggiornato in relazione al feedback

Se vuoi impostarlo permanentemente, devi creare un file .curlrc e metterlo nella tua home directory. sudo comandi potrebbero aver bisogno di questo file in /var/root Il file prende le stesse opzioni della riga di comando ma senza i trattini. Un'opzione per riga:

cacert=/path/to/my/certs.pem

Root non legge dalle impostazioni di attendibilità dell'utente correnti, ma ci sono sia le impostazioni di trust di amministratore che le impostazioni di fiducia specifiche dell'utente root. (Queste sono anche distinte dalle impostazioni di trust system .) Nota anche che le impostazioni di trust del certificato sono in qualche modo distinte dall'aggiunta di un certificato a un portachiavi; puoi contrassegnare un certificato come affidabile senza aggiungerlo completamente. (La situazione esatta qui non mi è chiara, e i documenti che ho visto sono vaghi.)

Puoi contrassegnare un certificato come attendibile per il tuo utente corrente come

$ security add-trusted-cert /path/to/cert.pem

ma ciò non aiuta con root. La soluzione, come si potrebbe ora intuire, è o a sudo sopra, che quindi contrassegna come affidabile per l'utente root in particolare:

$ sudo security add-trusted-cert /path/to/cert.pem

o per utilizzare il flag -d per aggiungerlo alle impostazioni di trust dell'amministratore:

$ security add-trusted-cert -d /path/to/cert.pem

(OS X farà apparire una finestra di dialogo per confermare questo.)

Ciascuno degli ultimi due sembra essere sufficiente per sudo curl .

Riferimento: link

Questo è veramente nel suggerimento di output:

echo insecure >> ~/.curlrc

Il vantaggio dell'utilizzo della soluzione di cui sopra è che funziona per tutti i comandi curl , ma non è raccomandato poiché potrebbe introdurre Attacchi MITM connettendosi ad host non sicuri e non fidati.

Se usi MacPorts (e lo script di terze parti che hai menzionato non lo rimuove da $PATH o chiama /usr/bin/curl ) puoi installare le porte certsync e curl in questo ordine.

certsync è uno strumento e un plist di lancio corrispondente che esporterà il portachiavi del sistema a $prefix/etc/openssl/cert.pem e installerà un link simbolico $prefix/share/curl/curl-ca-bundle.crt -> $prefix/etc/openssl/cert.pem , in modo che MacPorts arricchi automaticamente i certificati. certsync aggiornerà automaticamente anche i file generati quando cambi il portachiavi del sistema.

La documentazione che stai cercando è qui. Spiega come usare cURL su Mavericks e come fornire i tuoi certificati: link

Per fare in modo che sudo curl funzioni (su OSX Sierra), abbiamo dovuto importare il certificato in System.keychain e fidarci di esso. Questo potrebbe essere fatto manualmente nell'app Portachiavi o usando questo comando:

sudo security add-trusted-cert -d -k /Library/Keychains/System.keychain /path/to/cert.pem

Era importante specificare entrambi -d e impostare manualmente il percorso del portachiavi del sistema tramite -k per assicurarti che il certificato venga effettivamente importato lì, se non lo è ancora.

Il comando funziona senza sudo , ma poi chiederebbe la password tramite una finestra di dialogo dell'interfaccia utente, che potrebbe essere un ostacolo per gli script.

Un modo per risolvere questo problema è lasciare che curl ignori del tutto il controllo della catena di certificati:

$ sudo curl -k https://example.com