检索 PEM 证书:SSL_connect 返回=1 errno=0 状态=SSLv3 读取服务器证书 B:证书验证失败
Posted
技术标签:
【中文标题】检索 PEM 证书:SSL_connect 返回=1 errno=0 状态=SSLv3 读取服务器证书 B:证书验证失败【英文标题】:Retrieve PEM cert: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed 【发布时间】:2013-09-08 05:51:32 【问题描述】:和其他许多人一样,我遇到了 Ruby 的错误:SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed。
我下载了一个 cacert.pem 并尝试像这样添加它:
require 'net/http'
# create a path to the file "C:\RailsInstaller\cacert.pem"
cacert_file = File.join(%wc: RailsInstaller cacert.pem)
Net::HTTP.start("curl.haxx.se") do |http|
resp = http.get("/ca/cacert.pem")
if resp.code == "200"
open(cacert_file, "wb") |file| file.write(resp.body)
puts "\n\nA bundle of certificate authorities has been installed to"
puts "C:\\RailsInstaller\\cacert.pem\n"
puts "* Please set SSL_CERT_FILE in your current command prompt session with:"
puts " set SSL_CERT_FILE=C:\\RailsInstaller\\cacert.pem"
puts "* To make this a permanent setting, add it to Environment Variables"
puts " under Control Panel -> Advanced -> Environment Variables"
else
abort "\n\n>>>> A cacert.pem bundle could not be downloaded."
end
end
像这样:
require 'open-uri'
require 'net/https'
module Net
class HTTP
alias_method :original_use_ssl=, :use_ssl=
def use_ssl=(flag)
self.ca_file = Rails.root.join('lib/ca-bundle.crt')
self.verify_mode = OpenSSL::SSL::VERIFY_PEER
self.original_use_ssl = flag
end
end
end
我什至试图取消支票:
require 'faraday'
module Faraday
class Adapter
class NetHttp < Faraday::Adapter
def call(env)
super
is_ssl = env[:url].scheme == 'https'
http = net_http_class(env).new(env[:url].host, env[:url].port || (is_ssl ? 443 : 80))
if http.use_ssl = is_ssl
ssl = env[:ssl]
if ssl[:verify] == false
http.verify_mode = OpenSSL::SSL::VERIFY_NONE
else
http.verify_mode = OpenSSL::SSL::VERIFY_NONE # <= PATCH or HACK ssl[:verify]
end
http.cert = ssl[:client_cert] if ssl[:client_cert]
http.key = ssl[:client_key] if ssl[:client_key]
http.ca_file = ssl[:ca_file] if ssl[:ca_file]
end
req = env[:request]
http.read_timeout = net.open_timeout = req[:timeout] if req[:timeout]
http.open_timeout = req[:open_timeout] if req[:open_timeout]
full_path = full_path_for(env[:url].path, env[:url].query, env[:url].fragment)
http_req = Net::HTTPGenericRequest.new(
env[:method].to_s.upcase, # request method
(env[:body] ? true : false), # is there data
true, # does net/http love you, true or false?
full_path, # request uri path
env[:request_headers]) # request headers
if env[:body].respond_to?(:read)
http_req.body_stream = env[:body]
env[:body] = nil
end
http_resp = http.request http_req, env[:body]
resp_headers =
http_resp.each_header do |key, value|
resp_headers[key] = value
end
env.update \
:status => http_resp.code.to_i,
:response_headers => resp_headers,
:body => http_resp.body
@app.call env
rescue Errno::ECONNREFUSED
raise Error::ConnectionFailed.new(Errno::ECONNREFUSED)
end
def net_http_class(env)
if proxy = env[:request][:proxy]
Net::HTTP::Proxy(proxy[:uri].host, proxy[:uri].port, proxy[:user], proxy[:password])
else
Net::HTTP
end
end
end
end
end
但没有运气(而不是您想要解决此问题的方式)。奇怪的是它有时会起作用。
现在我正在尝试,但找不到证书:
require 'net/http'
url = URI.parse('https://www.xpiron.com/schedule')
req = Net::HTTP::Get.new(url.path)
sock = Net::HTTP.new(url.host, 443)
sock.use_ssl = true
store = OpenSSL::X509::Store.new
store.add_cert OpenSSL::X509::Certificate.new(File.new('addtrust_ca.pem'))
store.add_cert OpenSSL::X509::Certificate.new(File.new('utn.pem'))
store.add_cert OpenSSL::X509::Certificate.new(File.new('user_first_ca.pem'))
store.add_cert OpenSSL::X509::Certificate.new(File.new('xpiron.pem'))
sock.cert_store = store
sock.start do |http|
response = http.request(req)
end
所以我在 chrome 中打开了https://myserver.com/Request.ashxrequest,点击了小锁图标以获取证书详细信息。但我找不到任何要导出的 PEM 文件。我可以看到它是 COMODO 证书。我不拥有服务器,所以我必须找到解决方案。
【问题讨论】:
【参考方案1】:您可以为给定的Net::HTTP 实例禁用证书验证:
stock.verify_mode = OpenSSL::SSL::VERIFY_NONE
或者您可以使用以下方法在您的流程中全局禁用 SSL 验证:
OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE
注意:Ruby 解释器会警告你常量已经初始化。有时你可能会遇到硬错误。如果是这种情况,您可以取消分配常量并使用以下代码再次初始化它:
OpenSSL::SSL.send(:remove_const, :VERIFY_PEER)
OpenSSL::SSL.const_set(:VERIFY_PEER, OpenSSL::SSL::VERIFY_NONE)
这不是您问题的完美解决方案,但如果安全性不是一个大问题,您可以使用上述方法绕过 SSL Cert 验证。您仍将拥有与服务器的加密安全连接。
【讨论】:
第二个应该放在哪里? 如果您使用的是 rails,则将其添加到初始化程序中。否则,只要在开始使用Net::HTTP 之前执行一次,就可以将它放在任何你想要的地方。在您的脚本中 require 'net/http' 之后将起作用
OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE 导致语法错误:dynamic constant assignment
@bbozo 您始终可以使用第一种方法来禁用给定实例,但不能全局禁用(第二种方法更适用于您仍在试验代码而不是生产服务器的开发模式)。无论哪种方式,您都可以取消设置和设置给定常量以避免动态 const 分配。你可以试试以下:OpenSSL::SSL.send(:remove_const, :VERIFY_PEER); OpenSSL::SSL.const_set(:VERIFY_PEER, OpenSSL::SSL::VERIFY_NONE)。确保net/http 是必需的以上是关于检索 PEM 证书:SSL_connect 返回=1 errno=0 状态=SSLv3 读取服务器证书 B:证书验证失败的主要内容,如果未能解决你的问题,请参考以下文章
Ruby SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: