Что Subversion использует для своего списка CA?

1256
jww

Я использую SVN в Mac OS X. Часто, когда я извлекаю что-то из SourceForge, мне предоставляют:

$ svn checkout https://svn.code.sf.net/p/cryptopp/code/trunk/c5 cryptopp-ecies Error validating server certificate for 'https://svn.code.sf.net:443': - The certificate is not issued by a trusted authority. Use the fingerprint to validate the certificate manually! Certificate information: - Hostname: *.code.sf.net - Valid: from Thu, 16 Apr 2015 00:00:00 GMT until Sun, 15 May 2016 23:59:59 GMT - Issuer: GeoTrust Inc., US - Fingerprint: 1f:7b:73:d5:cf:71:18:76:d5:23:f3:07:c9:2f:f5:4a:52:67:0f:68

OpenSSL s_clientпоказывает, что самым верхним центром сертификации является Equifax Secure Certificate Authority :

$ openssl s_client -connect svn.code.sf.net:443 -showcerts ... --- Certificate chain 0 s:/C=US/ST=New York/L=New York/O=Dice Career Solutions/OU=code.sf.net/CN=*.code.sf.net i:/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G3 -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- 1 s:/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G3 i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----

Equifax Secure Certificate Authority это присутствует в Keychain OS Х:

Что Subversion использует для своего списка CA?

Так что я не совсем уверен, почему меня подталкивает Subversion.

Вопрос : что Subversion использует для своего списка CA?

Это версия SVN от Apple 1.7.10 (а не Brew или Macports):

$ which svn /usr/bin/svn $ svn --version svn, version 1.7.10 (r1485443) compiled Jan 15 2014, 11:22:16

manСтраница Apple для SVN описывает программу только в одном абзаце. Это даже не беспокоит детализации переключателей.

2

1 ответ на вопрос

3
baf

По умолчанию клиент SVN не использует никаких сертификатов. У вас есть два варианта:

1.

Загрузите последний ca-bundle.crtфайл сертификатов Mozilla CA по ссылке на веб-странице cURL .

Найти Svn конфигурационный файл с именем serversв вашем домашнем каталоге: ~/.subversion/servers. Создайте файл и .subversionпапку, если они не существуют.

Добавьте путь к комплекту сертификатов в разделе serversконфигурации global:

[global] ssl-authority-files = /path/to/the/ca-bundle.crt

2.

Установите сертификаты CA для OpenSSL и добавьте следующую строку в файл serversконфигурации в globalразделе:

[global] ssl-trust-default-ca = yes

Сначала я думал, что второй вариант не работает на OS X, но я протестировал его, и он действительно работает.

Спасибо @baf. Я заинтересован в том, чтобы узнать, что Apple использует для своего списка, а не как его заменить. Сообщение Subversion: * «Сертификат не выдан доверенным органом» *, в котором сообщается, что у него есть список, а * Equifax Secure Certificate Authority * отсутствует в нем. Я пытаюсь понять почему. jww 9 лет назад 0
@jww Он не использует "список". Это зависит от сертификатов openssl, и openssl по умолчанию не устанавливает никаких сертификатов. Если вы устанавливаете сертификаты и устанавливаете `ssl-trust-default-ca = yes`, это на самом деле работает. Я обновил свой ответ. baf 9 лет назад 0

Похожие вопросы