ssl - 如何避免 libmproxy 中的 'tlsv1 alert unknown ca' 错误？

Question

目前正在使用 libmproxy ，它又使用 telnetlib , 向 HTTPS 网页发出请求。但是，出现以下错误:

Error: [('SSL routines', 'SSL3_READ_BYTES', 'tlsv1 alert unknown ca')]

我认为这与无法验证为页面使用的证书提供担保的 CA 的身份有关。我认为应该有一个我可以打开(或关闭)的设置来绕过验证——我对验证数字签名者的身份不感兴趣。

我认为一种可能的、有点丑陋的解决方案是修补代码以捕获异常并忽略它，但我宁愿有一种更干净、更受支持的方法来做到这一点。

避免/解决这个问题的好方法是什么？

非常感谢!

Answer 1

如果您有 Windows 客户端，似乎可以使用 certutil。

http://support.microsoft.com/kb/555252

对于 Linux 客户端，您可以使用:

sudo mkdir /etc/share/certificates/extra && cp cacert.crt /user/share/certficates/extra/cacert.crt
sudo dpkg-reconfigure ca-certificates

对于 Mac 客户端:

sudo security add-trusted-cert -d -r trustRoot -k \
"/Library/Keychains/System.keychain" \
"/private/tmp/certs/certname.cer"

(从 https://apple.stackexchange.com/questions/80623/import-certificates-into-system-keychain-via-the-command-line 得到这个答案)

此外，阅读 libmproxy 的网页似乎它能够加载自定义证书。如果您已经拥有客户信任的内部证书颁发机构，您可能只想从那里生成证书。