Как установить прокси-сертификат компании
Мой сервер CentOS 7, который находится в частном облаке AWS (сеть компании), не может подключиться к некоторым сайтам. После некоторой работы мне удалось сузить проблему до следующей проблемы.
- Следующий внутренний сайт недоступен (SSL через общедоступный центр сертификации)
curl -v https://git.company.com
, который возвращает ,
About to connect() to git.company.com port 443 (#0)
Trying 10.62.124.6...
Connected to git.company.com (10.62.124.6) port 443 (#0)
Initializing NSS with certpath: sql:/etc/pki/nssdb
CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
- Но следующие внутренние сайты работают (SSL через общедоступный CA)
curl -v https://alm.company.com
, который возвращает
About to connect() to alm.company.com port 443 (#0)
Trying 10.64.167.137...
Connected to alm.company.com (10.64.167.137) port 443 (#0)
Initializing NSS with certpath: sql:/etc/pki/nssdb
CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
SSL connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
...
...
...
Accept: */*
Это оба внутренних сайта, которым доверяет один и тот же общедоступный CA.
Как можно отладить это дальше? После некоторой работы мне удалось сузить проблему до следующей проблемы.
- Следующий внутренний сайт недоступен (SSL через общедоступный центр сертификации)
curl -v https://git.company.com
, который возвращает ,
About to connect() to git.company.com port 443 (#0)
Trying 10.62.124.6...
Connected to git.company.com (10.62.124.6) port 443 (#0)
Initializing NSS with certpath: sql:/etc/pki/nssdb
CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
- Но следующие внутренние сайты работают (SSL через общедоступный CA)
curl -v https://alm.company.com
, который возвращает
About to connect() to alm.company.com port 443 (#0)
Trying 10.64.167.137...
Connected to alm.company.com (10.64.167.137) port 443 (#0)
Initializing NSS with certpath: sql:/etc/pki/nssdb
CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
SSL connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
...
...
...
Accept: */*
Это оба внутренних сайта, которым доверяет один и тот же общедоступный CA.
Как можно отладить это дальше? После некоторой работы мне удалось сузить проблему до следующей проблемы.
- Следующий внутренний сайт недоступен (SSL через общедоступный центр сертификации)
curl -v https://git.company.com
, который возвращает ,
About to connect() to git.company.com port 443 (#0)
Trying 10.62.124.6...
Connected to git.company.com (10.62.124.6) port 443 (#0)
Initializing NSS with certpath: sql:/etc/pki/nssdb
CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
- Но следующие внутренние сайты работают (SSL через общедоступный CA)
curl -v https://alm.company.com
, который возвращает
About to connect() to alm.company.com port 443 (#0)
Trying 10.64.167.137...
Connected to alm.company.com (10.64.167.137) port 443 (#0)
Initializing NSS with certpath: sql:/etc/pki/nssdb
CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
SSL connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
...
...
...
Accept: */*
Это оба внутренних сайта, которым доверяет один и тот же общедоступный CA.
Как можно отладить это дальше? Я столкнулся с некоторыми решениями, в которых они просят установить компанию на сервер (хотя мне интересно, почему один сайт работает, а другой нет), но не знаю, как правильно установить этот сертификат.
Кто-нибудь может помочь?
Спасибо за помощь.
Galite naudoti curl -k ... kad būtų ignoruojami pažymėjimų pažeidimai. Arba galite naudoti curl --cacert , jei norite pateikti savo įmonės CA sertifikatą.
Arba galite pridėti savo įmonės CA sertifikatą prie / etc / pki / tls / certs / ir paleiskite make ten, kad jis būtų prieinamas visos sistemos mastu.
Ah ir norėdami gauti įmonės šaknies CA naudokite tai: openssl s_client -connect git.company.com : 443 -showcerts - kurie išmes visus sertifikatus grandinėje.