Portál AbcLinuxu, 7. května 2025 05:42

Dotaz: SSL certifikáty v curl v7.38?

8.7.2024 08:24 Marek
SSL certifikáty v curl v7.38?
Přečteno: 462×
Odpovědět | Admin
Mám jednodeskový systém s starším Debianem, pro posílání zpráv na Telegram jsem na něj naistaloval Curl v7.38, celkem to šlo až na jednu maličkost. telegram je https a curl hlási chybu certifikatu, ano umím to vypnout -k, ale neumím nahrát certifikát, aby je to mohlo ověřit. Co jsem hledal navod našl jsme bud nco co končil purvou souboru pro PhP nebo exportem cacert.pem z mozily, ale to konči u kovezniho skriptu curl, který v 7.38 neni. Porodíte?

Řešení dotazu:

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Max avatar 8.7.2024 12:11 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: SSL certifikáty v curl v7.38?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Řešíš důvěryhodnost cert vystaveného na web službách, nebo i ověřování certifikátem? Nějak jsem to z toho nepochopil.
Pokud jen důvěryhodnost, tak stačí naimportovat CA do toho Debianu, ne?
Zdar Max
Měl jsem sen ... :(
8.7.2024 12:41 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: SSL certifikáty v curl v7.38?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Odporučil by som upgrade na niečo podporované. Menovite na niečo čo má verziu balíčka ca-certificates mladšiu 10 rokov.
10.7.2024 08:58 Marek
Rozbalit Rozbalit vše Re: SSL certifikáty v curl v7.38?
Odpovědět | | Sbalit | Link | Blokovat | Admin
curl: (60) SSL certificate problem: self signed certificate in certificate chain More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bundle" of Certificate Authority (CA) public keys (CA certs). If the default bundle file isn't adequate, you can specify an alternate file using the --cacert option. If this HTTPS server uses a certificate signed by a CA represented in the bundle, the certificate verification probably failed due to a problem with the certificate (it might be expired, or the name might not match the domain name in the URL). If you'd like to turn off curl's verification of the certificate, use the -k (or --insecure) option. coli curl používa CA uložené v souboru cacert.pem

curl --remote-name --time-cond cacert.pem https://curl.se/ca/cacert.pem Sthla a do adresaře root uozila cacert.pem s CA pro mozilu z ¨2.7.2024, ale to je asi tak jediné co se stalo

Ano chtělo by to novější distribuci,ale prostě není, je to prostě 10 let stary jednodeskový x86 s málo paměti a nejvovějši co na to je je linux-image-4.1.6 založený na Debian Jesie 8.7, občas mám zachvat zkusit udělat vlastní verzi na novějším debianu, ale nemám s tím zkušenosti a bez návody pro blbe si netroufnu.
10.7.2024 09:20 X
Rozbalit Rozbalit vše Re: SSL certifikáty v curl v7.38?
curl: (60) SSL certificate problem: self signed certificate in certificate chain
S cim to komunikujes? Neleze do toho nejaka firemni proxy? Protoze Telegram urcite "self signed certificate" nepouziva. Problem muze byt uplne jinde.
10.7.2024 10:14 Marek
Rozbalit Rozbalit vše Re: SSL certifikáty v curl v7.38?
Telegram má API pro boty, to funguje tak, že musíte na jejich server doručit token a nějak data, jelikož je token tajný klič tak se cely přenos děje šifrovaně, zkratka komunikujete s https. Curl tedy zajisti, že jde o HTTPS a jako první by měl ověřit že je certifikát telegramu pravý a na to potřebuje klič nějaké CA . Zkrátka nejde o můj certfikát ,ale o ověření certifikátu telegramu. Kdybych komunikoval pomoci curl s google.com, řešil bych stejný problém, je to také https. POkud se s curel použije paremtr -k tak curl cerifikat neověří prostě mu věří a vše funguje, ale tak nějak mě zajimá v čem je problém.
10.7.2024 10:26 X
Rozbalit Rozbalit vše Re: SSL certifikáty v curl v7.38?
Problem je v tom, ze pouzivas 'self signed certificate'. To proste bude vzdycky problem, protoze tim porusujes "retezec duvery". Musel by jsi pouzit realny certifikat, napriklad LE, s overitelnym kompletnim retezcem.
10.7.2024 10:59 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: SSL certifikáty v curl v7.38?
Pokiaľ jej to preukázateľne ním vygenerovaný certifikát, tak žiadnu dôveru neporušuje.

Tým self signed certificate sa podľa môjho názoru prejavila chyba keď z nejakého dôvodu prastarý curl nespoznal daný certifikát, jeho nadradený certifikát alebo certifikát certifikačnej autority. To môže byť kvôli tomu že hociktorý z certifikátov používa algoritmus ktorý nepozná tak prastará (a určite aj pekelne deravá) verzia CURL, alebo to nepozná "Go Daddy Root Certificate Authority - G2" ktorý je z roku 2009 a mal by byť v novšej verzii balíčka ktorý som spomínal.

Ja osobne by som nahodil nejaké novšie distro do VM, a zmigroval služby ktoré sa ešte používajú. Ale takú starú vykopávku by som už nezapínal.
10.7.2024 12:10 X
Rozbalit Rozbalit vše Re: SSL certifikáty v curl v7.38?
Nikdo nic nevi. Chtel bych videt vystup curl -iv ..., openssl verify -CA.pem CAP.pem klient.pem, a test spojeni pomoci s_client. Chci videt kde je korenovy certifikat instalovany, pripadne jak byl generovany, kde lezi klientsky certifikat, pripadne prava usera a souboru.
10.7.2024 12:20 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: SSL certifikáty v curl v7.38?
Zjisti si, ktere certifikaty z chainu ti chybi.
Vytvor si adresar /usr/share/ca-certificates/extra a do nej je nahraj.
Do /etc/ca-certificates.conf pridej radky extra/nejaky_cert.crt a spust sudo update-ca-certificates.
Řešení 1× (Max)
10.7.2024 13:29 Marek
Rozbalit Rozbalit vše Re: SSL certifikáty v curl v7.38?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Tak nakonec pomohlo smazat adresař /etc/ssl/cert a znovu nainstalovat apt-get install -y ca-certificates což nainstalovalo ty samé certifikáty z roku 2014, ale na rozdil od tech smazaných funguji. Sice moc nechapu v čem byl problém, asi se na CompactFlash card 1GB poškodily soubory. Ono by nebylo divu, deska řídí pec s teplotou do +1200C. Účelem telegramové inovace je,poslat před koncem cyklu zprávu obsluze na telegram nebo odpovědět na dotaz v jakém je proces stavu, formy se pečou 8 až 12 hodin a tak je často vyndavá někdo jiný než je tam dával. Vzhledem k ceně pece, noc nejde zde zmíněné tak steré bych nepouštěl.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.