Los certificados de servidor no son validados correctamente por subversion / openssl

2

Me di cuenta de que svn cli no valida los certificados https y siempre solicita la validación manual usando la huella digital del certificado:

mbp:~ user$ svn co https://svn.mysite.com/svn/testrepo
Error validating server certificate for 'https://svn.mysite.com:443':
 - The certificate is not issued by a trusted authority. Use the
   fingerprint to validate the certificate manually!
Certificate information:
 - Hostname: svn.mysite.com
 - Valid: from Fri, 21 Jun 2013 00:00:00 GMT until Mon, 20 Jun 2016 23:59:59 GMT
 - Issuer: ANISSUER, DE
 - Fingerprint: 37:7d:6a:a7:e9:4c:30:57:fe:45:32:ab:bb:71:6c:79:08:4d:72:0d

Todos los siguientes clientes pudieron validar el certificado de mi propio servidor svn, así como el de un sf.net servidor:

  • svn cli en Linux
  • TortoiseSVN en Windows
  • Safari / Firefox / Chrome en OSX

Las dos versiones de svn cli que probé en OSX (Mountain Lion) y que no lograron validar los certificados son:

  • /usr/bin/svn : 1.6.18 (r1303927) - Mountain Lion / Xcode
  • /opt/homebrew/bin/svn : 1.7.9 (r1462340) - Compilado usando homebrew

¿Hay alguna forma de evitar este problema?

    
pregunta m000 21.06.2013 - 16:31

1 respuesta

2

Un amigo (que era demasiado perezoso para escribir la respuesta aquí) me insinuó que los certificados raíz en Mac OSX se almacenan en el llavero y sugirió dos formas diferentes de solucionar el problema.

Para crear la biblioteca openssl (utilizada por svn) para localizarlos, debe exportarlos manualmente y almacenarlos en /System/Library/OpenSSL/cert.pm . El proceso se describe paso a paso en la siguiente publicación del blog: enlace

Si está utilizando homebrew , una solución alternativa es instalar el paquete curl-ca-bundle y apuntar openssl a la ubicación del Certificados con el uso de una variable de entorno.

brew install curl-ca-bundle
echo "export SSL_CERT_FILE=$(brew --prefix)/opt/curl-ca-bundle/share/ca-bundle.crt" >> ~/.bashrc
    
respondido por el m000 26.06.2013 - 15:40

Lea otras preguntas en las etiquetas