curl:(60) SSL 证书问题:在代理后面上传时
问题描述 投票:0回答:4
我需要在公司代理后面进行curl上传。根据我尝试的网站,我遇到了以下两种类型的问题,
- curl:(35)错误:1408F10B:SSL例程:ssl3_get_record:版本号错误
- curl: (60) SSL 证书问题:无法获取本地颁发者证书
详情如下:
案例1:
. . .
< HTTP/1.1 200 Connection established
< Proxy-agent: CCProxy
<
* Proxy replied 200 to CONNECT request
* CONNECT phase completed!
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* CONNECT phase completed!
* CONNECT phase completed!
* error:1408F10B:SSL routines:ssl3_get_record:wrong version number
* Closing connection 0
curl: (35) error:1408F10B:SSL routines:ssl3_get_record:wrong version number
案例2:
$ curl -vX POST -d "userId=5&title=Hello World&body=Post body." https://jsonplaceholder.typicode.com/posts
Note: Unnecessary use of -X or --request, POST is already inferred.
* Uses proxy env variable https_proxy == 'http://10.xx.xx.xx:808/'
* Trying 10.xx.xx.xx:808...
* TCP_NODELAY set
* Connected to 10.xx.xx.xx port 808 (#0)
* allocate connect buffer!
* Establish HTTP proxy tunnel to jsonplaceholder.typicode.com:443
> CONNECT jsonplaceholder.typicode.com:443 HTTP/1.1
> Host: jsonplaceholder.typicode.com:443
> User-Agent: curl/7.68.0
> Proxy-Connection: Keep-Alive
>
< HTTP/1.1 200 Connection established
< Proxy-agent: CCProxy
<
* Proxy replied 200 to CONNECT request
* CONNECT phase completed!
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* CONNECT phase completed!
* CONNECT phase completed!
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, unknown CA (560):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.haxx.se/docs/sslcerts.html
curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.
问题不是上面的CCProxy,而是我们公司使用的是Zscaler透明代理,它用自己的证书拦截SSL请求。
请问有什么办法可以解决吗?
$ curl --version
curl 7.68.0 (x86_64-pc-linux-gnu) libcurl/7.68.0 OpenSSL/1.1.1g zlib/1.2.11 brotli/1.0.7 libidn2/2.3.0 libpsl/0.21.0 (+libidn2/2.3.0) libssh2/1.8.0 nghttp2/1.40.0 librtmp/2.3
Release-Date: 2020-01-08
$ lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux bullseye/sid
Release: testing
Codename: bullseye
4个回答
3
投票
投票
两个选项中的第 1 步都将提取 Zscaler 证书。
选项 1 直接卷曲
- 下载证书(所有证书都包含在一个文件中)
- 执行
命令传递您要使用的证书。curl
# 1
openssl s_client -showcerts \
-connect jsonplaceholder.typicode.com:443 </dev/null 2>/dev/null \
| sed -n '/-----BEGIN CERTIFICATE-----/,/-----END CERTIFICATE-----/p' > typicode.crt
# 2
curl --cacert typicode.crt -v \
-d "userId=5&title=Hello World&body=Post body." \
https://jsonplaceholder.typicode.com/posts
选项 2(安装程序脚本)
如果
curl- 从服务器提取证书(使用 FQDN 或 IP 和端口,即:
)jsonplaceholder.typicode.com:443 - 将 XXX.crt 证书移至您的证书目录
- 更新证书
- 执行安装脚本
# 1
openssl s_client -showcerts \
-connect jsonplaceholder.typicode.com:443 </dev/null 2>/dev/null \
| sed -n '/-----BEGIN CERTIFICATE-----/,/-----END CERTIFICATE-----/p' > typicode.crt
# 2
sudo mv typicode.crt /usr/local/share/ca-certificates/
# 3
sudo update-ca-certificates
# 4 execute your installer script
奖金
如果您需要/只想获取 Zscaler 证书,请从以下位置获取 IP:https://ip.zscaler.com
openssl s_client -showcerts -servername server -connect 165.225.216.33:443 </dev/null 2>/dev/null | sed -n '/-----BEGIN CERTIFICATE-----/,/-----END CERTIFICATE-----/p' | grep -m1 -B-1 -- '-----END CERTIFICATE-----' > zscaler.crt
更新(11/19/21):
- 添加选项1,什么时候是直接
,不需要安装证书。curl - 优化了提取证书(创建文件)的命令
- 奖励:获取 Zscaler IP
在 Zscaler 代理后面的 Ubuntu 20 和 18 上进行了测试。
无证书
有证书
参考资料:
1
投票
投票
答案是“将该代理的证书添加到 CA 捆绑包中”,感谢 Daniel Stenberg 的回答。然后我想我应该填写其余的内容。所以这是我尝试解决剩下的问题/问题--
- 问:获得 Zscaler 证书的最简单方法是什么?
答:从这里:
转至策略 > SSL 检查。在中级根证书SSL 拦截权限部分中,单击下载Zscaler根证书。导航到 ZscalerRootCerts。 zip 文件并解压它。
- 问:如何将该证书添加到 CA 捆绑包中?
A: 请参阅如何安装公司代理证书:
- 您可以使用
来提供您公司的CA证书。curl --cacert <CA certificate>- 或者您可以将公司 CA 证书添加到
并在那里运行/etc/pki/tls/certs/以使其在系统范围内可用。make
0
投票
投票
此错误 (
SSL certificate problem如果希望curl与终止TLS的透明代理一起使用,您必须将该代理的证书添加到CA捆绑包中,或者完全忽略证书检查(我建议不要这样做)。
TLS 的透明代理当然会使连接完全不可靠并且破坏安全属性。
0
投票
投票
我将 RootCA 证书导出为 PEM 并将文件内容复制到我从 https://curl.se/docs/caextract.html 下载的文件中。现在,CURL 适用于所有请求,甚至是那些最终被 ZScaler 拦截的请求。我还设置了包含两个证书的文件的
SSL_CERT_FILE最新问题
- “导出加密密钥失败”在 android studio 中创建用 kotlin 制作的应用程序的签名包时遇到此错误
- 如何模拟在 WinUI 应用程序中触发 Frame.NavigationFailed 事件?
- 如何在 JavaScript 中根据另一个变量值构造变量?我如何重新分配它的值并对该变量执行方法?
- AWS athena 正则表达式替换除第一次出现之外的情况
- 如何在asp.net C#中获取视频文件的视频时长?
- C 内存访问错误分段故障 -
- 使用服务器端渲染和应用程序路由器优化 Next.js(13.5.3) 中的 LCP
- Nswag CSharp 客户端生成器将字符串标记为必需
- AWS athena 正则表达式替换(第一次出现除外)
- 有没有办法使用 go.Scatterpolar() 获得具有完整线条的雷达图?
- 如何使用新的 CanActivateFn 而不是已弃用的 CanActivate 在 Angular auth Guard 中实现由 auth reducer 管理的状态?
- 在Visual C#中,如何在消息框中从右到左书写?
- Dart,将字符串十六进制转换为常量颜色
- 打开SigmaPlot时出错:“无法打开指定的宏默认库”
- 如何加载NifTI文件并在Jupyter笔记本上访问
- H264 的 FPS 降低
- 以编程方式设置属性
- Trino 字符串拆分 > 每个字符
- Azure 开放式 AI 嵌入技能
- 更新 Visual Studio 中的数据集结构以匹配新的 SQL 数据库结构
© www.soinside.com 2019 - 2024. All rights reserved.