Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

git clone https startssl - server certificate verification failed

86 views
Skip to first unread message

Vladimir Skubriev

unread,
Oct 17, 2013, 8:10:01 AM10/17/13
to
Использую на сервере сертификаты от StartSSL Class 1.

Браузер нормально их воспринимает и не ругается.

А вот git наоборот.

Причем я поставил git (1.8.4) с поддержкой SNI. У меня несколько https
Virtualhost's на одном IP.

git clone https://git.example.com/gitproject.git
Cloning into 'gitproject'...
fatal: unable to access 'https://git.example.com/gitproject.git/':
server certificate verification failed. CAfile:
/etc/ssl/certs/ca-certificates.crt CRLfile: none

Почему ?

Спасибо.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/525FD298...@skubriev.ru

sergio

unread,
Oct 17, 2013, 8:30:02 AM10/17/13
to
On 17/10/13 16:05, Vladimir Skubriev wrote:

ca-certificates стоит?

--
sergio.


--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/525FD6FE...@sergio.spb.ru

Vladimir Skubriev

unread,
Oct 17, 2013, 8:40:02 AM10/17/13
to
On 10/17/2013 04:24 PM, sergio wrote:
> On 17/10/13 16:05, Vladimir Skubriev wrote:
>
> ca-certificates стоит?
>

ll /etc/ssl/certs/ca-certificates.crt
-rw-r--r-- 1 root root 233264 сент. 14 18:53
/etc/ssl/certs/ca-certificates.crt

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/525FD893...@skubriev.ru

Vladimir Skubriev

unread,
Oct 17, 2013, 9:40:01 AM10/17/13
to
On 10/17/2013 04:05 PM, Vladimir Skubriev wrote:
> Использую на сервере сертификаты от StartSSL Class 1.
>
> Браузер нормально их воспринимает и не ругается.
>
> А вот git наоборот.
>
> Причем я поставил git (1.8.4) с поддержкой SNI. У меня несколько https
> Virtualhost's на одном IP.
>
> git clone https://git.example.com/gitproject.git
> Cloning into 'gitproject'...
> fatal: unable to access 'https://git.example.com/gitproject.git/':
> server certificate verification failed. CAfile:
> /etc/ssl/certs/ca-certificates.crt CRLfile: none
>
> Почему ?
>
> Спасибо.
>
# wget https://www.startssl.com/certs/sub.class1.server.ca.pem
# cat ssl.crt sub.class1.server.ca.pem > ssl-bundled.crt

# cat nginx.conf:

#Use bundled certificate file with
https://www.startssl.com/certs/sub.class1.server.ca.pem
ssl_certificate /etc/ssl-git_example_com-startssl/ssl-bundled.crt;

Это все. Гит заработал, причем и старой версии из репов тоже )

Но hg все равно не работает!
Сделал тоже самое для сайта hg.

А он все равно не работает. Будем искать ...

hg clone https://skub...@example.com/hg/hgproj
abort: error: _ssl.c:504: EOF occurred in violation of protocol

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/525FE845...@skubriev.ru

Artem Chuprina

unread,
Oct 17, 2013, 10:40:02 AM10/17/13
to
Vladimir Skubriev -> Debian-...@lists.debian.org @ Thu, 17 Oct 2013 16:05:44 +0400:

VS> Использую на сервере сертификаты от StartSSL Class 1.

VS> Браузер нормально их воспринимает и не ругается.

VS> А вот git наоборот.

VS> Причем я поставил git (1.8.4) с поддержкой SNI. У меня несколько https
VS> Virtualhost's на одном IP.

VS> git clone https://git.example.com/gitproject.git
VS> Cloning into 'gitproject'...
VS> fatal: unable to access 'https://git.example.com/gitproject.git/': server
VS> certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt
VS> CRLfile: none

VS> Почему ?

А соответствующий корневой сертификат в
/etc/ssl/certs/ca-certificates.crt есть? Браузеры туда не смотрят, у
них собственное хранилище корневых сертификатов, от производителя
браузера. Ну, если их в дебиане не патчили на сей предмет.


--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/877gdce...@wizzle.ran.pp.ru

Vladimir Skubriev

unread,
Oct 18, 2013, 4:00:02 AM10/18/13
to
On 10/17/2013 06:30 PM, Artem Chuprina wrote:
> Vladimir Skubriev -> Debian-...@lists.debian.org @ Thu, 17 Oct 2013 16:05:44 +0400:
>
> VS> Использую на сервере сертификаты от StartSSL Class 1.
>
> VS> Браузер нормально их воспринимает и не ругается.
>
> VS> А вот git наоборот.
>
> VS> Причем я поставил git (1.8.4) с поддержкой SNI. У меня несколько https
> VS> Virtualhost's на одном IP.
>
> VS> git clone https://git.example.com/gitproject.git
> VS> Cloning into 'gitproject'...
> VS> fatal: unable to access 'https://git.example.com/gitproject.git/': server
> VS> certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt
> VS> CRLfile: none
>
> VS> Почему ?
>
> А соответствующий корневой сертификат в
> /etc/ssl/certs/ca-certificates.crt есть? Браузеры туда не смотрят, у
> них собственное хранилище корневых сертификатов, от производителя
> браузера. Ну, если их в дебиане не патчили на сей предмет.
>
>
Наверное есть, если сегодня уже все заработало )))

Ох уж эти сертификаты от StartSSL )

Но и на этом спасибо.

Единственный момент - это то, что hg не поддерживает SNI ((

Точнее его надо обновлять.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/5260E91B...@skubriev.ru
0 new messages