自己署名証明書のあるWindowsでgitを使用して「ローカル発行者証明書を取得できません」を解決できない

WindowsでGitを使用しています。msysGitパッケージをインストールしました。テストリポジトリのサーバーに自己署名証明書があります。HTTPを使用して問題なくリポジトリにアクセスして使用できます。HTTPSに移行するとエラーが発生します。

SSL証明書の問題：ローカルの発行者証明書を取得できません。

Windows 7-クライアントマシンの信頼されたルート証明機関に自己署名証明書がインストールされています。エラーメッセージなしで、Internet ExplorerでHTTPSリポジトリURLを参照できます。

Philip Kelleyによるこのブログ投稿は、cURLがクライアントマシンの証明書ストアを使用しないことを説明しています。私はブログ投稿のアドバイスに従って、curl-ca-bundle.crtGitのプライベートコピーを作成し、それを使用するようにGitを構成しました。Gitが私のコピーを使用していると確信しています。コピーの名前を変更すると、Gitはファイルが欠落していると不平を言います。

ブログの投稿で述べたように、証明書に貼り付けましたが、「ローカル発行者証明書を取得できません」というメッセージがまだ表示されます。

HTTPS経由でGitHubリポジトリを複製することで、Gitがまだ機能していることを確認しました。

ブログ投稿と異なるのは、私の証明書がルートであることだけです。それに到達するためのチェーンはありません。私の証明書は、元々、IIS8 IISマネージャーのリンク「Create Self Signed Certificate」をクリックして作成されました。たぶんそれは証明書がcURLが期待するものと何らかの点で異なるものになるでしょう。

自己署名証明書を受け入れるようにGit / cURLを取得するにはどうすればよいですか？

SSL検証を完全に無効にする場合は、Git Bashを開いてコマンドを実行します。

git config --global http.sslVerify false

注：このソリューションでは、中間者攻撃などの攻撃が発生する可能性があります。したがって、できるだけ早く確認を再度オンにします。

git config --global http.sslVerify true

問題は、デフォルトで「Linux」暗号バックエンドを使用するgitです。

Git for Windows 2.14から、組み込みのWindowsネットワークレイヤーであるSChannelを暗号化バックエンドとして使用するようにGitを構成できるようになりました。これは、Windows証明書ストレージメカニズムを使用し、curl CAストレージメカニズムを明示的に構成する必要がないことを意味します。https：//msdn.microsoft.com/en-us/library/windows/desktop/aa380123（v = vs.85）.aspx

ただ実行する：

git config --global http.sslbackend schannel

それは役立つはずです。

Windows用のgitをインストールするときのschannelの使用は現在の標準設定です。また、httpsは構成が簡単で、ファイアウォールによってブロックされる可能性が低いため、失敗の可能性が少ないため、リポジトリをSSHでチェックアウトしないことをお勧めします。

私にもこの問題がありました。私の場合、プッシュするたびにサーバー上の作業コピーを更新するために、受信後のGitフックを取得しようとしていました。リンクしているブログの指示に従ってみました。私にとってもうまくいきませんでしたし、ユーザーごとに設定を上書きすることもうまくいきませんでした。

私がしなければならなかったのは、Git全体に対して（この記事で言及されているように）SSL検証を無効にすることでした。完璧な解決策ではありませんが、より良い解決策が見つかるまで機能します。

私は次の場所にあるGit構成テキストファイルを編集しました（Notepad ++などのお気に入りの行末ニュートラルアプリを使用）。

C：\ Program Files（x86）\ Git \ etc \ gitconfig

[http]ブロックに、sslVerifyを無効にするオプションを追加しました。私が終わったとき、それはこのように見えました：

[http]
    sslVerify = false
    sslCAinfo = /bin/curl-ca-bundle.crt

これでうまくいきました。

注意：

• これはSSL検証を無効にし、長期的なソリューションとしては推奨されません。

• リポジトリごとに無効にすることもできますが、それでも十分ではありませんが、設定をローカライズします。

• LetsEncrypt.orgの登場により、自己署名証明書の代わりにSSLを設定することがかなり簡単になり、自動化され、自由になり、sslVerifyをオフにする必要がなくなりました。

kiddaileyはかなり近いと思いますが、ssl検証を無効にするのではなく、ローカル証明書を提供するだけです。

Git構成ファイル

[http]
    sslCAinfo = /bin/curl-ca-bundle.crt

またはコマンドラインから：

git config --global http.sslCAinfo /bin/curl-ca-bundle.crt

私もこの問題に直面しました。そして最後に、このMSDNブログからガイダンスを得ることで解決しました。

更新

実際には、Git \ binディレクトリにあるgitの証明書ファイルcurl-ca-bundel.certに証明書を追加する必要があります。

手順

1. ブラウザーでgithubページを開き、アドレスバーのロックアイコンをクリックします。
2. 開いた小さなポップアップで[証明書の表示]リンクに移動すると、ポップアップウィンドウが開きます。
3. 証明書タブに移動します（私の場合は3番目）。ルート証明書である最上位ノードを選択します。そして下部にある証明書のコピーボタンを押してファイルを保存します。
4. ファイルエクスプローラーでGit \ binディレクトリに移動し、curl-ca-bundle.crtをテキストエディターで開きます。
5. （手順3で）エクスポートした証明書ファイルをテキストエディターでも開きます。
6. エクスポートした証明書のすべてのコンテンツをcurl-ca-bundle.crtの最後にコピーして保存します。

最後にステータスを確認します。安全のため、編集する前にcurl-ca-bundle.crtファイルをバックアップしてください。

この質問への答えは、開発SSLにmakecertを使用することで解決しました。

理由はわかりませんが、IISマネージャーの[自己署名証明書の作成]リンクで作成した証明書ではうまくいきません。私は、自己署名CAルートの作成とインストールに関するリンクされた質問のアプローチに従いました。次に、それを使用してサーバーのサーバー認証証明書を発行します。両方をIISにインストールしました。

これにより、元の質問で参照されていたブログ投稿と同じ状況になります。ルート証明書がcurl-ca-bundle.crtにコピー/貼り付けられると、git / curlのコンボが満たされました。

ssl検証を完全に無効にしたり、gitが使用するバンドルされたCA証明書ファイルを複製/ハッキングしたりするのを避けるために、ホストの証明書チェーンをファイルにエクスポートして、 gitでそれを使用することができます。

git config --global http.https://the.host.com/.sslCAInfo c:/users/me/the.host.com.cer

それが機能しない場合は、ホストに対してのみ ssl検証を無効にできます。

git config --global http.https://the.host.com/.sslVerify false

注：SSL検証がオフになっている場合、中間者攻撃の可能性があります。

私は同じ問題を抱えていますが、Windowsでsourcetreeを使用していますWindowsの通常のGITでも同じ手順を実行します。次の手順に従って、この問題を解決することができました。

1. サーバー証明書ツリーの取得これは、chromeを使用して行うことができます。サーバーアドレスに移動します。南京錠のアイコンをクリックして、証明書を表示します。すべての証明書チェーンをbase64エンコードファイル（PEM）形式としてエクスポートします。
2. 証明書をGIT信頼構成ファイルの信頼チェーンに追加します。「git config --list」を実行します。「http.sslcainfo」構成を見つけます。これは、証明書信頼ファイルの場所を示しています。「--BEGIN--」および「--END--」を含むすべての証明書を信頼チェーンファイルにコピーします。
3. 証明書チェーン全体を証明書ファイルに追加してください

これにより、自己署名証明書とGITの使用に関する問題が解決されます。

「http.sslcapath」構成を使用してみましたが、これは機能しませんでした。また、証明書ファイルにチェーン全体を含めなかった場合も、これは失敗します。誰かがこれらにポインタを持っている場合は、上記を繰り返して新規インストールする必要があるため、私に知らせてください。

これがシステムGITの場合、[ツール]-> [オプションGIt]タブのオプションを使用してシステムGITを使用できます。これにより、ソースツリーの問題も解決されます。

以下の場合はgithubのリポジトリ（または任意のなし-自己署名本命）、Gitのをオン窓のインストール中に以下の選択、問題を解決しました。

私は以前にこの問題を抱えていましたが、次の設定を使用して解決しました。

[http "https://your.domain"] sslCAInfo=/path/to/your/domain/priviate-certificate

git 2.3.1以降でhttps://your.domainは、次の証明書がそれ専用であることを示すためにhttpの後に置くことができます。

1. このリンクからの証明書のダウンロード： https://github.com/bagder/ca-bundle
2. それを追加 C:\Program Files\Git\binし、C:\Program Files\Git\mingw64\bin

次に、次のようなことを試してください： git clone https://github.com/heroku/node-js-getting-started.git

私を台無しにした1つのことは、パスの形式（私のWindows PCで）でした。私はもともとこれを持っていました：

git config --global http.sslCAInfo C:\certs\cacert.pem

しかし、「ローカル発行者証明書を取得できません」というエラーで失敗しました。

最終的に機能したのはこれでした：

git config --global http.sslCAInfo "C:\\certs\\cacert.pem"

私の場合、ConEmu Terminal for Window 7をca-bundleインストールしたので、インストール中にでが作成されますC:\Program Files\Git\mingw64\ssl\certs。

したがって、ターミナルで次のコマンドを実行して機能させる必要があります。

$ git config --global http.sslbackend schannel
$ git config --global http.sslcainfo /mingw64/ssl/certs/ca-bundle.crt

したがって、my C:\Program Files\Git\etc\gitconfigには以下が含まれます。

[http]
    sslBackend = schannel
    sslCAinfo = /mingw64/ssl/certs/ca-bundle.crt

また、Gitをインストールするときに、ここで説明したのと同じオプションを選択しました。

お役に立てば幸いです。

especificエラーSSL証明書の問題を修正するには：gitでローカル発行者証明書を取得できません

Let's Encrypt証明書でも同じ問題が発生しました。

httpsが必要なWebサイト：

SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf

しかしgit pullは言う：

fatal: unable to access 'https://example.com/git/demo.git/': SSL certificate problem: unable to get local issuer certificate

それを修正するには、以下も追加する必要があります。

SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem

composerの更新/インストールを実行する前に、このコマンドを使用してください：

git config --global http.sslverify false