logo标签列表

OS X: Git使用客户端证书被拒绝

gitcurlosx-mavericksosx-yosemiteclient-certificates
12
我们通过在~/.gitconfig中添加以下行来使用客户端证书访问Git服务器:
[http]
        sslCAInfo = /path/to/git-ca.crt
        sslCert = /path/to/git-client.crt
        sslKey = /path/to/git-client.pem

在Linux、Windows和OS X <= 10.8上,使用完全相同的文件可以很好地运行。但是当我在OS X 10.10上尝试时,出现了以下错误:

bash-3.2$ git fetch
fatal: unable to access 'https://ourserver:12345/repository.git/': SSL: Can't load the certificate "/path/to/git-client.crt" and its private key: OSStatus -25299

问题发生在git version 1.9.3 (Apple Git-50)git version 2.0.1中。 更新 从KeyChain中删除相应的项后,我遇到了以下崩溃:
bash-3.2$ git fetch
2014-11-17 09:58:51.257 git-remote-https[2787:12194] *** Terminating app due to uncaught exception 'NSInvalidArgumentException', reason: '*** -[__NSPlaceholderArray initWithObjects:count:]: attempt to insert nil object from objects[0]'
*** First throw call stack:
(
    0   CoreFoundation                      0x00007fff9828164c __exceptionPreprocess + 172
    1   libobjc.A.dylib                     0x00007fff8f91c6de objc_exception_throw + 43
    2   CoreFoundation                      0x00007fff98125068 -[__NSPlaceholderArray initWithObjects:count:] + 360
    3   CoreFoundation                      0x00007fff98124a2d CFArrayCreate + 141
    4   libcurl.4.dylib                     0x00007fff8f75169e darwinssl_connect_common + 2089
    5   libcurl.4.dylib                     0x00007fff8f75073a Curl_ssl_connect_nonblocking + 36
    6   libcurl.4.dylib                     0x00007fff8f719673 Curl_http_connect + 77
    7   libcurl.4.dylib                     0x00007fff8f727977 Curl_protocol_connect + 129
    8   libcurl.4.dylib                     0x00007fff8f739cef multi_runsingle + 799
    9   libcurl.4.dylib                     0x00007fff8f73993d curl_multi_perform + 170
    10  git-remote-https                    0x0000000109815c8a step_active_slots + 25
    11  git-remote-https                    0x0000000109815cfb run_active_slot + 77
    12  git-remote-https                    0x0000000109817621 http_request + 459
    13  git-remote-https                    0x0000000109816148 http_request_reauth + 34
    14  git-remote-https                    0x0000000109813f76 discover_refs + 476
    15  git-remote-https                    0x00000001098131e4 main + 1556
    16  libdyld.dylib                       0x00007fff94bd25c9 start + 1
    17  ???                                 0x0000000000000003 0x0 + 3
)
libc++abi.dylib: terminating with uncaught exception of type NSException

在这次崩溃之后,证书条目已经再次出现在钥匙串中。奇怪的是,在OS X 10.8上,从存储库获取时不会添加任何内容到我的钥匙串中。

更新2 当我在OS X 10.9上尝试相同操作时,我得到以下错误:

bash-3.2$ git fetch
fatal: unable to access 'https://ourserver:12345/repository.git/': SSL certificate problem: Invalid certificate chain

更新3 我可以成功地使用这些证书连接openssl,即使在OS X 10.9上也是如此:

bash-3.2$ openssl s_client -connect ourserver:12345 -cert /path/to/git-client.crt -key /path/to/git-client.pem
CONNECTED(00000003)
depth=1 /C=de/O=companyca/CN=internal-ca
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/C=de/O=companyserv/CN=smart
   i:/C=de/O=companyca/CN=internal-ca
 1 s:/C=de/O=companyca/CN=internal-ca
   i:/C=de/O=companyca/CN=internal-ca
---
Server certificate
...
<----------------------snip---------------------->
...
---
SSL handshake has read 2348 bytes and written 1360 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: E5873AF43D24CEE6529178B4EFD7FE3368711DF1BFBC6CA89C50F8D39DE0B014
    Session-ID-ctx: 
    Master-Key: <**********>
    Key-Arg   : None
    Start Time: 1416486728
    Timeout   : 300 (sec)
    Verify return code: 19 (self signed certificate in certificate chain)
---
closed

这个问题看起来与GitHub的此问题类似,但我们正在使用自签名证书。
25299 表示“密钥链中已存在指定项”。也许您将公钥复制了两次到 crt 文件中? - Phillip
谢谢提示。我已从KeyChain中删除了该项。 - Thomas S.
@ThomasS. 嗯,它解决了你的问题吗? - musiKk
你是如何创建 .pem 文件的? - zerkms
我已经从我的管理员那里得到了它。正如所说的,它适用于所有的OS X < 10.9、Linux和Windows操作系统。 - Thomas S.
显示剩余5条评论
2个回答
9

看起来你遇到了与这个Docker问题相同的问题,他们得出结论可能是OSX curl的一个错误。

其他帖子中,他们建议,这可能是由于证书序列号为1或过大而无法适应32位的原因。

在您的OS X 10.9情况下,我认为“无效证书”应该通过将证书添加到系统密钥链中作为可信解决(在此问题中讨论)。

这篇文章描述了OS X curl中的一些更改,似乎与此有关。据我理解,可能的解决方案是切换到不同的curl实现(但只有使用brew安装git才能起作用)。

很遗憾,在这些链接里我找不到任何有用的信息来解决这个问题。我不得不从需要客户端证书的HTTPS协议转换到使用OS X 10.9+上的SSH协议。 - Thomas S.
2
如Michal已经提到的,这是一个OSX Curl Bug。一种可能的解决方案是安装不依赖于OSX Curl实现的Git版本
  1. 安装MacPorts:https://www.macports.org/install.php
  2. $port -v selfupdate
  3. $port install git
很遗憾,这不是一个选项,因为我们不能期望在最终用户的机器上安装macports。 - Thomas S.
在我的10.11上无法工作..我使用了Homebrew,但它仍然失败。 - Daij-Djan
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接