如何在 cURL 命令行中信任自签名证书?

如何在 cURL 命令行中信任自签名证书?

我已经使用 foo.localhost 创建了一个自签名证书让我们加密推荐使用这个 Makefile:

include ../.env

configuration = csr.cnf
certificate = self-signed.crt
key = self-signed.key

.PHONY: all
all: $(certificate)

$(certificate): $(configuration)
    openssl req -x509 -out $@ -keyout $(key) -newkey rsa:2048 -nodes -sha256 -subj '/CN=$(HOSTNAME)' -extensions EXT -config $(configuration)

$(configuration):
    printf "[dn]\nCN=$(HOSTNAME)\n[req]\ndistinguished_name = dn\n[EXT]\nsubjectAltName=DNS:$(HOSTNAME)\nkeyUsage=digitalSignature\nextendedKeyUsage=serverAuth" > $@

.PHONY: clean
clean:
    $(RM) $(configuration)

然后我将其分配给网络服务器。我已经验证服务器返回了相关证书:

$ openssl s_client -showcerts -connect foo.localhost:8443 < /dev/null
CONNECTED(00000003)
depth=0 CN = foo.localhost
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = foo.localhost
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=foo.localhost
   i:/CN=foo.localhost
-----BEGIN CERTIFICATE-----
[…]
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=foo.localhost
issuer=/CN=foo.localhost
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 1330 bytes and written 269 bytes
Verification error: unable to verify the first certificate
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES128-GCM-SHA256
    Session-ID: […]
    Session-ID-ctx: 
    Master-Key: […]
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket:
    […]

    Start Time: 1529622990
    Timeout   : 7200 (sec)
    Verify return code: 21 (unable to verify the first certificate)
    Extended master secret: no
---
DONE

如何让 cURL 信任它不修改 /etc 中的任何内容? --cacert不是工作,大概是因为没有 CA:

$ curl --cacert tls/foo.localhost.crt 'https://foo.localhost:8443/'
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

目标是在开发过程中启用 HTTPS:

  • 如果没有大量工作来在所有开发环境中启用 DNS 验证,我就无法获得完全类似于生产的证书。因此我必须使用自签名证书。
  • 显然,我仍然希望使我的开发环境尽可能与生产环境相似,因此我不能简单地忽略任何和所有证书问题。curl -k就像catch (Exception e) {}在这种情况下 - 完全不像浏览器与网络服务器对话。

换句话说,跑步时curl [something] https://project.local/api/foo我要确信

  1. 如果 TLS 配置正确除了拥有自签名证书之外该命令将会成功并且
  2. 如果我的 TLS 配置有任何问题除了拥有自签名证书之外该命令将失败。

使用 HTTP 或未--insecure满足第二个标准。

答案1

尝试-k

curl -k https://yourhost/

它应该“接受”自签名证书

答案2

按照以下步骤应该可以解决您的问题:

  1. 下载并保存自签名证书:echo quit | openssl s_client -showcerts -servername "${API_HOST}" -connect "${API_HOST}":443 > cacert.pem
  2. 告诉curl客户这件事:curl --cacert cacert.pem --location --silent https://${API_HOST}

还可以使用 wget 并忽略证书:wget --no-check-certificate https://${API_HOST}

答案3

我遇到了这个问题,完全相同的问题和错误消息,但我使用 GNUTLS 的 certtool 来生成我的证书而不是 openssl。

我的问题是我没有将我的自签名证书设为 CA。它仅被配置为充当 Web 服务器证书。这就是我想要用它做的所有事情,我不打算将它用作 CA 来签署其他证书。

但是,当您想将一个证书作为其他证书的颁发者添加到信任链中时,该证书必须是 CA,否则会被 openssl 拒绝!

对于certtool -i < mycert.crt,我们需要看到这一点:

    Extensions:
            Basic Constraints (critical):
                    Certificate Authority (CA): TRUE

尝试添加-addext basicConstraints=critical,CA:TRUE,pathlen:1到 openssl 命令或修改 cnf 文件以达到相同的效果。

或者,使用 certtool,一次性证书生成要容易得多:

certtool -p --outfile localhost.key
certtool -s --load-privkey localhost.key --outfile localhost.crt

然后根据提示提供证书的 CN 等。当被问及是否用于证书颁发机构时,请说“是”!

答案4

使用提供的解决方案trustme效果很好,但如果有人有兴趣创建用于学习目的的证书,这些是对我有用的步骤:

  1. 创建根CA:

    openssl req -x509 -sha256 -days 1825 -newkey rsa:2048 -keyout rootCA.key -out rootCA.crt
    
  2. 创建服务器私钥:

    openssl genrsa -out localhost.key 2048
    
  3. 创建证书签名请求:

    openssl req -key localhost.key -new -out localhost.csr
    
  4. 创建localhost.ext包含以下内容的文件:

    authorityKeyIdentifier=keyid,issuer
    basicConstraints=CA:FALSE
    subjectAltName = @alt_names
    [alt_names]
    DNS.1 = localhost
    

    该文件具有证书的 DNS 配置。这很重要,因为如果 URL 中的名称与证书中的 DNS 不匹配,则 TLS 检查将无法通过。

  5. 使用之前创建的根 CA 签署服务器证书:

    openssl x509 -req -CA rootCA.crt -CAkey rootCA.key -in localhost.csr -out localhost.crt -days 365 -CAcreateserial -extfile localhost.ext
    
  6. 将文件转换crt为以下pem格式:

    openssl x509 -in localhost.crt -out localhost.pem
    openssl x509 -in rootCA.crt -out rootCA.pem
    

现在您应该能够在服务器中使用localhost.pem和。localhost.key客户端应该使用rootCA.pem连接到服务器。

就我而言,我必须使用jks文件。该pem文件可以转换为jks如下:

//first convert it to pkcs12
openssl pkcs12 -export -in localhost.pem -inkey localhost.key -out serverCertificate.p12 -name "serverCertificate"

//then convert it from pkcs12 to jks
keytool -importkeystore -srckeystore serverCertificate.p12 -srcstoretype pkcs12 -destkeystore localhost.jks

可以使用以下命令查看密钥库中的条目:

keytool -keystore localhost.jks -list

应该localhost.jks在服务器中使用,并且可以使用以下方法测试连接:

curl --cacert rootCA.pem https://localhost:<port>

参考:

  1. https://www.baeldung.com/openssl-self-signed-cert
  2. https://www.digicert.com/kb/ssl-support/openssl-quick-reference-guide.htm
  3. https://www.baeldung.com/convert-pem-to-jks

相关内容