Was verwendet Subversion für seine CA-Liste?

1307
jww

Ich verwende SVN unter Mac OS X. Wenn ich etwas von SourceForge auschecke, wird mir häufig Folgendes angezeigt:

$ svn checkout https://svn.code.sf.net/p/cryptopp/code/trunk/c5 cryptopp-ecies Error validating server certificate for 'https://svn.code.sf.net:443': - The certificate is not issued by a trusted authority. Use the fingerprint to validate the certificate manually! Certificate information: - Hostname: *.code.sf.net - Valid: from Thu, 16 Apr 2015 00:00:00 GMT until Sun, 15 May 2016 23:59:59 GMT - Issuer: GeoTrust Inc., US - Fingerprint: 1f:7b:73:d5:cf:71:18:76:d5:23:f3:07:c9:2f:f5:4a:52:67:0f:68 

OpenSSL's s_clientzeigt, dass die oberste Zertifizierungsstelle Equifax Secure Certificate Authority ist :

$ openssl s_client -connect svn.code.sf.net:443 -showcerts ... --- Certificate chain 0 s:/C=US/ST=New York/L=New York/O=Dice Career Solutions/OU=code.sf.net/CN=*.code.sf.net i:/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G3 -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- 1 s:/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G3 i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- 

Die Equifax Secure Certificate Authority ist im Keychain von OS X vorhanden:

enter image description here

Ich bin mir also nicht ganz sicher, warum ich von Subversion dazu aufgefordert werde.

Frage : Was verwendet Subversion für seine CA-Liste?


Dies ist Apples 1.7.10-Version von SVN (und nicht Brew oder Macports):

$ which svn /usr/bin/svn $ svn --version svn, version 1.7.10 (r1485443) compiled Jan 15 2014, 11:22:16 

Apples manSVN - Seite beschreibt das Programm nur in einem Absatz. Es macht sich nicht einmal die Mühe, die Schalter detailliert zu beschreiben.

2

1 Antwort auf die Frage

3
baf

Standardmäßig verwendet der svn-Client keine Zertifikate. Sie haben zwei Möglichkeiten:

1

Laden Sie die neueste Mozilla CA-Zertifikatsdatei ca-bundle.crtüber den Link auf der cURL-Webseite herunter .

Finden svn config - Datei mit dem Namen serversin Ihrem Home - Verzeichnis: ~/.subversion/servers. Erstellen Sie die Datei und den .subversionOrdner, falls sie nicht vorhanden sind.

Fügen Sie dem Zertifikatspaket im serversKonfigurationsabschnitt einen Pfad hinzu global:

[global] ssl-authority-files = /path/to/the/ca-bundle.crt 

2

Installieren Sie CA-Zertifikate für OpenSSL und fügen Sie der serversKonfigurationsdatei im globalAbschnitt folgende Zeile hinzu :

[global] ssl-trust-default-ca = yes 

Anfangs dachte ich, dass die zweite Option unter OS X nicht funktioniert, aber ich habe es getestet und es funktioniert tatsächlich.

Danke @baf. Ich bin daran interessiert, zu erfahren, was die Subversion von Apple für ihre Liste verwendet, und nicht, wie sie ersetzt werden soll. Die Nachricht von Subversion lautet * "Das Zertifikat wird nicht von einer vertrauenswürdigen Stelle ausgestellt". * Es wird angezeigt, dass es eine Liste hat und * Equifax Secure Certificate Authority * nicht vorhanden ist. Ich versuche zu verstehen warum. jww vor 9 Jahren 0
@jww Es verwendet keine "Liste". Dies hängt von openssl-Zertifikaten ab, und openssl installiert standardmäßig keine Zertifikate. Wenn Sie Zertifikate installieren und "ssl-trust-default-ca = yes" setzen, funktioniert es tatsächlich. Ich habe meine Antwort aktualisiert. baf vor 9 Jahren 0