I certificati del server non sono validati correttamente da subversion / openssl

2

Ho notato che svn cli non riesce a convalidare i certificati https e chiede sempre la convalida manuale usando l'impronta digitale del certificato:

mbp:~ user$ svn co https://svn.mysite.com/svn/testrepo
Error validating server certificate for 'https://svn.mysite.com:443':
 - The certificate is not issued by a trusted authority. Use the
   fingerprint to validate the certificate manually!
Certificate information:
 - Hostname: svn.mysite.com
 - Valid: from Fri, 21 Jun 2013 00:00:00 GMT until Mon, 20 Jun 2016 23:59:59 GMT
 - Issuer: ANISSUER, DE
 - Fingerprint: 37:7d:6a:a7:e9:4c:30:57:fe:45:32:ab:bb:71:6c:79:08:4d:72:0d

Tutti i seguenti client sono stati in grado di convalidare il certificato del mio server SVN nonché quello di un sf.net server:

  • svn cli su Linux
  • TortoiseSVN su Windows
  • Safari / Firefox / Chrome su OSX

Le due versioni di svn cli che ho provato su OSX (Mountain Lion) e non sono riuscito a convalidare i certificati sono:

  • /usr/bin/svn : 1.6.18 (r1303927) - Mountain Lion / Xcode
  • /opt/homebrew/bin/svn : 1.7.9 (r1462340) - Compilato utilizzando homebrew

C'è un modo per aggirare questo problema?

    
posta m000 21.06.2013 - 16:31
fonte

1 risposta

2

Un amico (che era troppo pigro per scrivere la risposta qui) mi ha fatto capire che i certificati radice in Mac OSX sono memorizzati nel portachiavi e ha suggerito due modi diversi per risolvere il problema.

Per creare una libreria openssl (utilizzata da svn) per individuarli, devi esportarli manualmente e memorizzarli in /System/Library/OpenSSL/cert.pm . Il processo è descritto passo a passo nel seguente post del blog: link

Se stai usando homebrew , una soluzione alternativa è installare il pacchetto curl-ca-bundle e puntare openssl alla posizione del certificati con l'uso di una variabile d'ambiente.

brew install curl-ca-bundle
echo "export SSL_CERT_FILE=$(brew --prefix)/opt/curl-ca-bundle/share/ca-bundle.crt" >> ~/.bashrc
    
risposta data 26.06.2013 - 15:40
fonte

Leggi altre domande sui tag