Pourquoi cURL ne peut-il pas vérifier correctement un certificat sous Windows?

Lorsque j'essaie d'utiliser Curl sur Windows, pour récupérer une httpsURL, j'obtiens la redoutable "erreur de connexion (60)".

Le message d'erreur exact est:

curl: (60) Problème de certificat SSL, vérifiez que le certificat CA est OK. Détails:
erreur: 14090086: routines SSL: SSL3_GET_SERVER_CERTIFICATE: échec de la vérification du certificat
Plus de détails ici: http://curl.haxx.se/docs/sslcerts.html

Comment résoudre ça?

Je ne sais pas pourquoi mais je n'ai pas trouvé toutes ces informations au même endroit.

1. Téléchargez la version compatible avec SSL de Curl, ou créez vous-même la version compatible avec SSL.

2. Depuis http://curl.haxx.se/docs/caextract.html , téléchargez le fichier cacert.pem.

3. Placez le curl.exe et le fichier .pem dans le même répertoire.

4. Renommez le cacert.pemfichier encurl-ca-bundle.crt

5. Relancez curl.exe!

MODIFIER:

Il existe d'autres moyens de résoudre le problème. cette façon particulière repose sur un cacert produit par le fabricant de Curl. Ce n'est peut-être pas ce que vous voulez, et en particulier, cela peut ne pas fonctionner dans les cas où vous disposez d'une autorité de certification moins connue (comme une autorité connue de votre entreprise uniquement) pour le certificat utilisé par le site SSL. . Dans ce cas, vous souhaiterez générer votre propre curl-ca-bundle.crtfichier. Vous pouvez utiliser certreq.exe et openssl.exe pour exporter un tel certificat à partir du magasin IE / Windows, puis convertir au format pem, respectivement.

J'ai créé un script PowerShell capable d'écrire le ca-cert.crtfichier en fonction des certificats d'autorité de certification installés dans votre magasin de certification Windows (CurrentUser ou LocalMachine). Exécutez le script comme ceci:

CreateCaCert.ps1 -StoreLocation CurrentUser | Out-File -Encoding utf8 curl-ca-cert.crt

Cela créera le curl-ca-cert.crtfichier qui devrait être stocké dans le même répertoire que curl.exeet vous devriez être en mesure de valider les mêmes sites que vous pouvez dans vos applications Windows (notez que ce fichier peut également être utilisé par git).

Le script "officiel" peut être trouvé sur GitHub , mais la version initiale est répertoriée ici pour référence:

[CmdletBinding()]
Param(
    [ValidateSet(
        [System.Security.Cryptography.X509Certificates.StoreLocation]::CurrentUser,
        [System.Security.Cryptography.X509Certificates.StoreLocation]::LocalMachine)]
    [string]
    $StoreLocation = [System.Security.Cryptography.X509Certificates.StoreLocation]::CurrentUser
)

$maxLineLength = 77

# Open the store
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store ([System.Security.Cryptography.X509Certificates.StoreName]::AuthRoot, $StoreLocation)
$store.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadOnly);

# Write header
Write-Output "# Root certificates ($StoreLocation) generated at $(Get-Date)"

# Write all certificates
Foreach ($certificate in $store.Certificates)
{
    # Start with an empty line
    Write-Output ""

    # Convert the certificate to a BASE64 encoded string
    $certString = [Convert]::ToBase64String($certificate.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Cert));

    # Write the actual certificate
    Write-Output "# Friendly name: $($certificate.FriendlyName)"
    Write-Output "# Issuer:        $($certificate.Issuer)"
    Write-Output "# Expiration:    $($certificate.GetExpirationDateString())"
    Write-Output "# Serial:        $($certificate.SerialNumber)"
    Write-Output "# Thumbprint:    $($certificate.Thumbprint)"
    Write-Output "-----BEGIN CERTIFICATE-----"
    For ($i = 0; $i -lt $certString.Length; $i += $maxLineLength)
    {
        Write-Output $certString.Substring($i, [Math]::Min($maxLineLength, $certString.Length - $i))
    }
    Write-Output "-----END CERTIFICATE-----"
}

En fait, nous avons eu le même problème avec Typheous / Ruby. La solution téléchargeait le cacert.pem et l'enregistrait dans C: \ Windows \ System32 (ou où que soit Windows). Après cela, nous définissons une variable d'environnement global comme décrit ici où le "Nom de la variable" doit être CURL_CA_BUNDLEet la "Valeur de la variable" le chemin d'accès au fichier %SystemRoot%\System32\cacert.pem.

Lors du démarrage d'une nouvelle session CMD, vous pouvez maintenant simplement utiliser la chose Typheous / Libcurl pour authentifier les connexions SSL. J'ai essayé avec succès cela avec Windows 8.1.