Impossible de résoudre «impossible d'obtenir le certificat d'émetteur local» à l'aide de git sous Windows avec un certificat auto-signé

J'utilise Git sous Windows. J'ai installé le package msysGit. Mon référentiel de test dispose d'un certificat auto-signé sur le serveur. Je peux accéder et utiliser le référentiel en utilisant HTTP sans problème. Le passage à HTTPS donne l'erreur:

Problème de certificat SSL: impossible d'obtenir le certificat d'émetteur local.

J'ai le certificat auto-signé installé dans les autorités de certification racine de confiance de mon ordinateur client Windows 7. Je peux accéder à l'URL du référentiel HTTPS dans Internet Explorer sans message d'erreur.

Ce billet de blog de Philip Kelley a expliqué que cURL n'utilise pas le magasin de certificats de l'ordinateur client. J'ai suivi les conseils du blog pour créer une copie privée curl-ca-bundle.crtet configurer Git pour l'utiliser. Je suis sûr que Git utilise ma copie. Si je renomme la copie; Git se plaint que le fichier est manquant.

J'ai collé dans mon certificat, comme mentionné dans le blog, je reçois toujours le message "impossible d'obtenir le certificat d'émetteur local".

J'ai vérifié que Git fonctionnait toujours en clonant un référentiel GitHub via HTTPS.

La seule chose que je vois qui est différente de l'article de blog est que mon certificat est la racine - il n'y a pas de chaîne pour l'atteindre. Mon certificat provenait à l'origine du clic sur le lien IIS8 IIS Manager «Créer un certificat auto-signé». Peut-être que cela rend un certificat différent d'une manière ou d'une autre de ce à quoi s'attend cURL.

Comment puis-je demander à Git / cURL d'accepter le certificat auto-signé?

Ouvrez Git Bash et exécutez la commande si vous souhaitez désactiver complètement la vérification SSL.

git config --global http.sslVerify false

Remarque: Cette solution peut vous ouvrir à des attaques comme les attaques de l'homme du milieu . Par conséquent, réactivez la vérification dès que possible:

git config --global http.sslVerify true

Le problème est que git utilise par défaut le backend crypto "Linux".

À partir de Git pour Windows 2.14, vous pouvez maintenant configurer Git pour utiliser SChannel, la couche réseau Windows intégrée comme backend crypto. Cela signifie que vous utiliserez le mécanisme de stockage des certificats Windows et que vous n'avez pas besoin de configurer explicitement le mécanisme de stockage de l'Autorité de certification curl: https://msdn.microsoft.com/en-us/library/windows/desktop/aa380123(v= vs.85) .aspx

Exécutez simplement:

git config --global http.sslbackend schannel

Cela devrait aider.

L'utilisation de schannel est désormais le paramètre standard lors de l'installation de git pour Windows, il est également recommandé de ne pas extraire les référentiels par SSH si possible, car https est plus facile à configurer et moins susceptible d'être bloqué par un pare-feu, cela signifie moins de risques d'échec.

J'avais aussi ce problème. Dans mon cas, j'essayais d'obtenir un hook Git post-réception pour mettre à jour une copie de travail sur un serveur à chaque push. J'ai essayé de suivre les instructions du blog auquel vous vous êtes connecté. Cela ne fonctionnait pas aussi pour moi et remplacer les paramètres par utilisateur ne semblait pas fonctionner non plus.

J'ai fini par devoir désactiver la vérification SSL (comme le mentionne l'article) pour Git dans son ensemble. Ce n'est pas la solution parfaite, mais cela fonctionnera jusqu'à ce que je puisse en trouver une meilleure.

J'ai édité le fichier texte de configuration Git (avec mon application neutre de fin de ligne préférée comme Notepad ++) située à:

C: \ Program Files (x86) \ Git \ etc \ gitconfig

Dans le bloc [http], j'ai ajouté une option pour désactiver sslVerify. Ça ressemblait à ça quand j'avais fini:

[http]
    sslVerify = false
    sslCAinfo = /bin/curl-ca-bundle.crt

Cela a fait l'affaire.

REMARQUE:

• Cela désactive la vérification SSL et n'est pas recommandé comme solution à long terme.

• Vous pouvez désactiver ce référentiel par qui n'est toujours pas génial, mais localise le paramètre.

• Avec l'avènement de LetsEncrypt.org, il est désormais assez simple, automatisé et gratuit de configurer SSL comme alternative aux certificats auto-signés et supprime la nécessité de désactiver sslVerify.

kiddailey, je pense, était assez proche, mais je ne désactiverais pas la vérification ssl, mais plutôt je fournirais simplement le certificat local:

Dans le fichier de configuration Git

[http]
    sslCAinfo = /bin/curl-ca-bundle.crt

Ou via la ligne de commande:

git config --global http.sslCAinfo /bin/curl-ca-bundle.crt

J'ai également fait face à ce problème. Et enfin résolu en obtenant des conseils de ce blog MSDN .

Mettre à jour

En fait, vous devez ajouter le certificat dans le fichier de certificats de git curl-ca-bundel.cert qui réside dans le répertoire Git \ bin.

Pas

1. Ouvrez votre page github dans le navigateur et cliquez sur l'icône de verrouillage dans la barre d'adresse.
2. Dans la petite fenêtre contextuelle ouverte, accédez au lien «Afficher le certificat», une fenêtre contextuelle s'ouvre.
3. Dans lequel accédez à l'onglet certificats (3e dans mon cas). Sélectionnez le nœud supérieur qui est le certificat racine. Et appuyez sur le bouton Copier le certificat en bas et enregistrez le fichier.
4. Dans l'explorateur de fichiers, accédez au répertoire Git \ bin et ouvrez curl-ca-bundle.crt dans l'éditeur de texte.
5. Ouvrez également le fichier de certificat exporté (à l'étape 3) dans l'éditeur de texte.
6. Copiez tout le contenu du certificat exporté à la fin de curl-ca-bundle.crt et enregistrez.

Enfin, vérifiez le statut. Veuillez noter que le fichier curl-ca-bundle.crt de sauvegarde avant la modification pour rester du bon côté.

La réponse à cette question à l' aide de makecert pour le développement SSL a résolu ce problème pour moi.

Je ne sais pas pourquoi, mais le certificat créé par le simple lien «Créer un certificat auto-signé» dans le Gestionnaire des services Internet ne fait pas l'affaire. J'ai suivi l'approche dans la question liée de la création et de l'installation d'une racine CA auto-signée; puis l'utiliser pour émettre un certificat d'authentification de serveur pour mon serveur. J'ai installé les deux dans IIS.

Cela obtient ma situation la même que celle du blog référencée dans la question d'origine. Une fois le certificat racine copié / collé dans curl-ca-bundle.crt, le combo git / curl était satisfait.

Pour éviter de désactiver complètement la vérification ssl ou de dupliquer / pirater le fichier de certificat d'autorité de certification groupé utilisé par git, vous pouvez exporter la chaîne de certificats de l'hôte dans un fichier et faire en sorte que git l'utilise:

git config --global http.https://the.host.com/.sslCAInfo c:/users/me/the.host.com.cer

Si cela ne fonctionne pas, vous pouvez désactiver la vérification SSL uniquement pour l'hôte:

git config --global http.https://the.host.com/.sslVerify false

Remarque: soumis à des attaques possibles de l'homme au milieu lorsque la vérification SSL est désactivée.

Je viens d'avoir le même problème, mais en utilisant sourcetree sur Windows Même étapes pour GIT normal sur Windows également. En suivant les étapes suivantes, j'ai pu résoudre ce problème.

1. Obtenir l'arborescence des certificats du serveur Cela peut être fait en utilisant Chrome. Naviguez pour être l'adresse du serveur. Cliquez sur l'icône du cadenas et consultez les certificats. Exportez toute la chaîne de certificats au format de fichiers encodés en base64 (PEM).
2. Ajoutez les certificats à la chaîne d'approbation de votre fichier de configuration d'approbation GIT Exécutez "git config --list". recherchez la configuration "http.sslcainfo" qui indique où se trouve le fichier d'approbation de certificat. Copiez tous les certificats dans le fichier de la chaîne de confiance, y compris "- -BEGIN- -" et "- -END- -".
3. Assurez-vous d'ajouter toute la chaîne de certificats au fichier de certificats

Cela devrait résoudre votre problème avec les certificats auto-signés et en utilisant GIT.

J'ai essayé d'utiliser la configuration "http.sslcapath" mais cela n'a pas fonctionné. De plus, si je n'incluais pas toute la chaîne dans le fichier des certificats, cela échouerait également. Si quelqu'un a des pointeurs sur ceux-ci, faites-le moi savoir car ce qui précède doit être répété pour une nouvelle installation.

S'il s'agit du GIT système, vous pouvez utiliser les options dans TOOLS -> onglet options GIt pour utiliser le GIT système et cela résout ensuite le problème dans sourcetree.

En cas de référentiels github (ou de tout certificat non auto-signé) , en choisissant ci-dessous lors de l'installation de Git-on-windows, vous avez résolu le problème.

J'ai déjà rencontré ce problème et le résoudre à l'aide de la configuration suivante.

[http "https://your.domain"] sslCAInfo=/path/to/your/domain/priviate-certificate

Depuis git 2.3.1, vous pouvez mettre https://your.domainaprès http pour indiquer que le certificat suivant est uniquement pour lui.

1. Téléchargez le certificat à partir de ce lien: https://github.com/bagder/ca-bundle
2. Ajoutez-le à C:\Program Files\Git\bin etC:\Program Files\Git\mingw64\bin

Essayez ensuite quelque chose comme: git clone https://github.com/heroku/node-js-getting-started.git

Une chose qui m'a dérangé était le format du chemin (sur mon PC Windows). J'avais à l'origine ceci:

git config --global http.sslCAInfo C:\certs\cacert.pem

Mais cela a échoué avec l'erreur "impossible d'obtenir le certificat d'émetteur local".

Ce qui a finalement fonctionné était le suivant:

git config --global http.sslCAInfo "C:\\certs\\cacert.pem"

Dans mon cas, comme j'ai installé le terminal ConEmu pour Windows 7, il crée le ca-bundlependant l'installation àC:\Program Files\Git\mingw64\ssl\certs .

Ainsi, je dois exécuter les commandes suivantes sur le terminal pour le faire fonctionner:

$ git config --global http.sslbackend schannel
$ git config --global http.sslcainfo /mingw64/ssl/certs/ca-bundle.crt

Par conséquent, my C:\Program Files\Git\etc\gitconfigcontient les éléments suivants:

[http]
    sslBackend = schannel
    sslCAinfo = /mingw64/ssl/certs/ca-bundle.crt

De plus, j'ai choisi la même option que celle mentionnée ici lors de l'installation de Git.

J'espère que cela pourra aider!

Pour résoudre le problème de certificat SSL d' erreur spécifique : impossible d'obtenir le certificat d'émetteur local dans git

J'ai eu le même problème avec les certificats Let's Encrypt.

Un site web avec https dont nous avons juste besoin:

SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf

mais git pull dit:

fatal: unable to access 'https://example.com/git/demo.git/': SSL certificate problem: unable to get local issuer certificate

Pour le réparer, nous devons également ajouter:

SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem

Utilisez cette commande avant d'exécuter la mise à jour / l'installation de composer:

git config --global http.sslverify false