SSL证书拒绝尝试通过HTTPS后面的防火墙访问GitHub

如果您想修复证书问题，请随意跳过此答案。这个答案涉及通过防火墙隧道ssh，这是恕我直言，更好的解决方案来处理防火墙/代理的东西。

有一种比使用http访问更好的方法，那就是使用github在ssh.github.com服务器的端口443上提供的ssh服务。

我们使用一种叫做开瓶器的工具。这可以通过CygWin（通过cygwin主页设置）和Linux使用您喜欢的打包工具。对于MacOSX，它至少可以从macports和brew中获得。

命令行如下：

$ corkscrew <proxyhost> <proxyport> <targethost> <targetport> <authfile>

proxyhost和proxyport是https代理的坐标。 targethost和targetport是隧道到的主机的位置。 authfile是一个文本文件，其中包含由冒号分隔的代理服务器用户名/密码的1行

e.g：

abc:very_secret

安装使用“普通”ssh协议进行git通信

通过将此添加到~/.ssh/config，此技巧可用于正常的ssh连接。

Host github.com
  HostName ssh.github.com
  Port 443
  User git
  ProxyCommand corkscrew <proxyhost> <proxyport> %h %p ~/.ssh/proxy_auth

现在你可以通过ssh-ing到gitproxy来测试它

pti@pti-laptop:~$ ssh github.com
PTY allocation request failed on channel 0
Hi ptillemans! You've successfully authenticated, but GitHub does not provide shell access.
       Connection to github.com closed.
pti@pti-laptop:~$

（注意：如果你之前从未登录过github，ssh会要求将服务器密钥添加到已知的hosts文件中。如果你是偏执狂，建议验证RSA指纹到github网站上显示的那个上传了你的密钥）。

当您需要使用其他密钥访问存储库时，此方法略有不同，例如：将您的私人帐户与专业帐户分开。

# 
# account dedicated for the ACME private github account 
#
Host acme.github.com
  User git
  HostName ssh.github.com
  Port 443
  ProxyCommand corkscrew <proxyhost> <3128> %h %p ~/.ssh/proxy_auth
  IdentityFile ~/.ssh/id_dsa_acme

请享用！

我们多年来一直在Linux，Mac和Windows上使用它。

如果你想要你可以read more about it in this blog post

要在将SSL验证设置为false时在Windows上进行克隆：

    git -c http.sslVerify=false clone http://example.com/e.git

如果您想要克隆而不需要考虑全局设置。

如果你想要做的只是使用github.com的Cygwin git客户端，那么有一个更简单的方法，无需经历下载，提取，转换，拆分证书文件的麻烦。继续如下（我假设使用Cygwin和Firefox的Windows XP）

1. 在Firefox中，转到github页面（任何）
2. 单击地址栏上的github图标以显示证书
3. 单击“更多信息” - >“显示证书” - >“详细信息”，然后从最上面的一个开始选择层次结构中的每个节点;对于他们每个人点击“导出”并选择PEM格式： GTECyber​​TrustGlobalRoot.pem DigiCertHighAssuranceEVRootCA.pem DigiCertHighAssuranceEVCA-1.pem github.com.pem
4. 将上述文件保存在本地驱动器的某处，将扩展名更改为.pem并将其移至Cygwin安装中的/ usr / ssl / certs（Windows：c：\ cygwin \ ssl \ certs）
5. （可选）从bash运行c_reshash。

而已。

当然，这只会安装一个证书层次结构，即github所需的层次结构。您当然可以将此方法与任何其他站点一起使用，而无需安装200个您不一定信任的站点证书。

如果您使用的是Mac OS X，则可以通过homebrew安装ca-cert-bundle：

$ brew install curl-ca-bundle
$ git config --system http.sslcainfo /usr/local/share/ca-bundle.crt

formula通过以下方式将证书包安装到您的共享：

share.install 'ca-bundle.crt'

share方法只是/usr/local/share的别名，curl-ca-bundle由Mozilla提供。这就是你在许多问题中被引用的内容。希望这有帮助，因为它不是非常直接的如何在Mac OS X上处理它.brew install curl不会让你太多，因为它是keg only and will not be linked（运行which curl将始终输出/usr/bin/curl，这是您的操作系统附带的默认值）。 This post may also be of some value。

你当然需要在安装homebrew之前禁用SSL，因为它是一个git repo。在SSL验证过程中出现错误时，只需执行curl所说的内容：

$ echo insecure >> ~/.curlrc

一旦你将homebrew与curl-ca-bundle一起安装，删除.curlrc并尝试在github上克隆一个repo。确保没有错误，你会很高兴。

注意：如果您使用.curlrc，请在测试完成后将其从系统中删除。此文件可能会导致重大问题，因此请将其用于临时目的并谨慎使用。 brew doctor会抱怨，以防您忘记从系统中清除它）。

注意：如果您更新您的git版本，则需要重新运行此命令，因为系统设置将被清除（它们是根据版本相对于git二进制文件存储的）。

跑完后：

$ brew update
$ brew upgrade

如果您获得了新版本的git，那么只需重新运行：

$ git config --system http.sslcainfo /usr/local/share/ca-bundle.crt

你会全力以赴。

最后，如果你有一个新版本的git，运行：

$ git config -l --system

应该给你一个错误

fatal: unable to read config file '/usr/local/Cellar/git/1.8.2.2/etc/gitconfig'

这是你的提示，你需要告诉git Mozilla ca-bundle的位置。

更新：

.curlrc可能会或可能不是您的问题的补救措施。无论如何，无论是否需要手动下载，都只需在机器上安装Mozilla ca-bundle。这就是重要的。一旦你获得了ca-bundle，你就可以去了。只需运行git config命令并将git指向ca-bundle即可。

UPDATE

我最近不得不补充：

export CURL_CA_BUNDLE=/usr/local/share/ca-bundle.crt到我的.zshenv点文件，因为我使用zsh。 git config选项适用于大多数情况，但是当通过SSL（例如rvm get stable）访问github时，我仍遇到证书问题。 @Maverick在他的评论中指出了这一点，但万一有人错过了它或者假设除了运行git config --system....命令之外他们不一定需要导出这个环境变量。谢谢，希望这会有所帮助。

UPDATE

它看起来像curl-ca-bundle是recently removed from homebrew。有一个recommendation here。

您需要将一些文件放入：

$(brew --prefix)/etc/openssl/certs

我使用apt-cyg（一个类似于apt-get的优秀安装程序）来修复这个问题，以便轻松下载ca-certificates（包括Git等等）：

apt-cyg install ca-certificates

注意：应首先安装apt-cyg。您可以从Windows命令行执行此操作：

cd c:\cygwin
setup.exe -q -P wget,tar,qawk,bzip2,subversion,vim

关闭Windows cmd，然后打开Cygwin Bash：

wget rawgit.com/transcode-open/apt-cyg/master/apt-cyg
install apt-cyg /bin

在我有的覆盆子pi

pi @ raspbmc：〜$ git clone http：//github.com/andreafabrizi/Dropbox-Uploader .git克隆到'Dropbox-Uploader'...错误：访问SSL CA证书（路径？访问权限？）时出现问题http：// github.com/andreafabrizi/Dropbox-Uploader.git/info/refs致命：HTTP请求失败

所以你是一个

sudo apt-get install ca-certificates

然后

git clone http://github.com/andreafabrizi/Dropbox-Uploader.git  

工作

如果你使用基于debian的操作系统，你可以简单地运行

apt-get install ca-certificates

我一直在为Solaris Express 11遇到同样的问题。我花了一段时间，但我设法找到了需要放置证书的位置。根据/etc/openssl/openssl.cnf，证书的路径是/ etc / openssl / certs。我使用Alexey的上述建议放置了生成的证书。

您可以在命令行上使用openssl验证事情是否正常工作：

openssl s_client -connect github.com:443

尝试使用.netrc文件，它将通过https进行身份验证。在您的主目录中创建一个文件调用.netrc并将其放入其中：

machine github.com login myusername password mypass

有关更多信息，请参阅此帖子：

https://plus.google.com/u/0/104462765626035447305/posts/WbwD4zcm2fj

通过在Windows cmd中暂时禁用GIT / curl ssl验证来改进RouMao的解决方案：

set GIT_SSL_NO_VERIFY=true
git config --global http.proxy http://<your-proxy>:443

这个解决方案的好处是它只在当前的cmd窗口中生效。

你检查过你的时间吗？

我绝对拒绝让我的git操作不安全，在尝试了这里提到的所有人之后，让我感到震惊的是，证书无法通过验证的一个可能原因是日期错误（证书到期日期或本地时钟）。

您可以在终端中输入date轻松查看。在我的情况下（一个新的覆盆子Pi），本地时钟设置为1970年，所以一个简单的ntpdate -u 0.ubuntu.pool.ntp.org修复了一切。对于rPi，我还建议您将以下脚本放在每日cron作业中（比如/etc/cron.daily/ntpdate）：

#!/bin/sh
/usr/sbin/ntpdate -u 0.ubuntu.pool.ntp.org 1> /dev/null 2>&1

问题是您没有在系统上安装任何证书颁发机构证书。并且这些证书不能与cygwin的setup.exe一起安装。

更新：Install Net/ca-certificates package in cygwin（感谢dirkjot）

有两种解决方案：

1. 实际上安装根证书。 Curl guys extracted for you certificates from Mozilla。 cacert.pem文件正是您要找的。此文件包含> 250个CA证书（不知道如何信任此数量的ppl）。您需要下载此文件，将其拆分为单个证书，将它们放入/ usr / ssl / certs（您的CApath）并对其进行索引。 这是怎么做的。使用cygwin setup.exe安装curl和openssl包执行： $ cd /usr/ssl/certs $ curl http://curl.haxx.se/ca/cacert.pem | awk '{print > "cert" (1+n) ".pem"} /-----END CERTIFICATE-----/ {n++}' $ c_rehash 重要提示：为了使用c_rehash，您还必须安装openssl-perl。
2. 忽略SSL证书验证。 警告：禁用SSL证书验证具有安全隐患。如果不验证SSL / HTTPS连接的真实性，恶意攻击者可以冒充受信任的端点（例如GitHub或其他一些远程Git主机），并且您将容易受到Man-in-the-Middle Attack的攻击。在将此作为解决方案之前，请确保完全了解安全问题和威胁模型。 $ env GIT_SSL_NO_VERIFY=true git clone https://github...

在我必须管理的协作开发平台上配置Git时遇到了同样的问题。

解决它：

• 我已经更新了服务器上安装的Curl版本。下载Download page of curland网站上的最新版本，按照安装程序Installation proceedings of curl
• 获取为服务器提供证书的颁发机构的证书。
• 将此证书添加到curl使用的CAcert文件中。在我的服务器上，它位于/etc/pki/tls/certs/ca-bundle.crt。
• 通过编辑.gitconfig文件配置git以使用此证书文件并设置sslcainfo路径。 sslcainfo= /etc/pki/tls/certs/ca-bundle.crt
• 在客户端计算机上，您必须获取证书并配置.gitconfig文件。

我希望这会对你们有些人有所帮助。

我尝试了一切，最终我查看了hosts文件，github随机输入了一下。删除别名修复了问题

％SYSTEMROOT％\ SYSTEM32 \ DRIVERS \等\主机

我只是禁用了SSL证书身份验证并使用了简单的用户名密码登录，如下所示

我只需要Cygwin和git的证书，所以我做了@esquifit发布的内容。但是，我必须手动运行第5步，c_rehash在我的系统上不可用。我遵循了这个指南：Installing CA Certificates into the OpenSSL framework。

我需要两件事：

1. 转到cygwin设置并包含“ca-certificates”包（它在Net下）（如其他地方所示）。
2. 告诉git在哪里找到已安装的证书： GIT_SSL_CAINFO = / usr / ssl / certs / ca-bundle.crt GIT_CURL_VERBOSE = 1 git ... （不需要详细选项） 或永久存储选项： git config --global http.sslCAinfo /usr/ssl/certs/ca-bundle.crt git ...

我遇到过同样的问题。证书导入或取消设置ssl验证的命令不起作用。结果是网络代理的过期密码。有代理配置的条目。在我的Windows用户配置文件中的.gitconfig文件中。我刚删除了整个条目，它又开始工作了。

在Mac OSX 10.5系统上，我能够通过一种简单的方法实现这一点。首先，运行github程序和测试，这对我来说没问题，表明我的证书确实没问题。 https://help.github.com/articles/generating-ssh-keys

ssh -T [email protected]

然后我终于注意到另一个用于遥控器的url格式。我尝试了其他人，他们没有工作。 http://git-scm.com/book/ch2-5.html

[email protected]:MyGithubUsername/MyRepoName.git

一个简单的“git push myRemoteName”效果很好！

我最近（2014年7月）有一个类似的问题，在OS X（10.9.4）上发现有一个“DigiCert High Assurance EV Root CA”证书已经过期（虽然我还有另一个未过期的证书）。

1. 打开钥匙串访问
2. 搜索“DigiCert”的证书
3. 查看菜单>显示过期的证书

我找到了两个名为“DigiCert High Assurance EV Root CA”的证书，一个在20131年11月到期，到期的一个在2014年7月（几天前）。删除过期的证书可以解决我的问题。

希望这可以帮助。

对于使用Msys / MinGW GIT的用户，请添加此项

  export GIT_SSL_CAINFO=/mingw32/ssl/certs/ca-bundle.crt 

注意：禁用SSL验证具有安全隐患。当您使用Git通过网络传输数据时，它允许中间人攻击。在将此作为解决方案之前，请确保完全了解安全隐患。或者更好的是，安装根证书。

一种方法是禁用SSL CERT验证：

git config --global http.sslVerify false

这将阻止CURL验证HTTPS认证。

仅适用于一个存储库：

git config http.sslVerify false

我希望Git使用更新的证书包而不替换我整个系统使用的证书包。以下是如何让Git在我的主目录中使用特定文件：

mkdir ~/certs
curl http://curl.haxx.se/ca/cacert.pem -o ~/certs/cacert.pem

现在更新.gitconfig以将其用于对等验证：

[http]
sslCAinfo = /home/radium/certs/cacert.pem

注意我正在使用绝对路径。 Git在这里没有路径扩展，所以你不能在没有丑陋的kludge的情况下使用~。或者，您可以跳过配置文件并通过环境变量GIT_SSL_CAINFO设置路径。

要解决此问题，请设置GIT_CURL_VERBOSE=1。 Git正在使用的CA文件的路径将显示在输出中以“CAfile：”开头的行上。

请注意，为了让我能够正常工作（在CentOS 5.6上安装RVM），我必须运行以下命令：

export GIT_SSL_NO_VERIFY=true

之后，将RVM安装程序卷入bash的标准安装程序很有效:)

一个非常简单的解决方案：用git：//替换https：//

使用git：//the.repository而不是https://the.repository并且可以工作。

我在Windows上使用TortoiseGit遇到了这个问题，这解决了它。

最流行的答案（Alexey Vishentsev）有：

问题是您没有在系统上安装任何证书颁发机构证书。并且这些证书不能与cygwin的setup.exe一起安装。

然而，最后一个断言是错误的（现在，或者一直是，我不知道）。

你所要做的就是去cygwin设置并包括'ca-certificates'包（它在Net下）。这对我有用。

我知道最初的问题列出了Cygwin，但这里是CentOS的解决方案：

curl http://curl.haxx.se/ca/cacert.pem -o /etc/pki/tls/certs/ca-bundle.crt

资料来源：http://eric.lubow.org/2011/security/fixing-centos-root-certificate-authority-issues/

在CentOS 5.x上，一个简单的yum update openssl更新了openssl包，更新了系统ca-bundle.crt文件并为我解决了问题。

其他分布也是如此。