gpt4 book ai didi

ssl - GitLab 中的 OpenSSL,对自签名证书进行什么验证?

转载 作者:太空宇宙 更新时间:2023-11-03 12:58:08 27 4
gpt4 key购买 nike

关于 Debian , 使用 GitLab ,我的自签名证书遇到了问题。

在网上大量搜索后通读了代码(我想,这是最后的手段,FOSS 很有帮助),我在 gitlab-shell/lib/gitlab_net.rb< 中找到了以下几行 这让我...感到困惑。

if config.http_settings['self_signed_cert']
http.verify_mode = OpenSSL::SSL::VERIFY_NONE
end

Stack Overflow 对我迄今为止遇到的各种问题的大多数回复都让我相信 VERIFY_NONE,如您所料,不会验证任何内容。根据我的阅读,VERIFY_PEER 似乎是自签名的正确设置。

当我阅读它时,感觉就像采取步骤使用证书保护我的连接,然后决定不使用它?这是一个错误,还是我误读了源代码?

最佳答案

gitlab-shell(在 GitLab 服务器上)必须通过 HTTPSSSH URL API 与 GitLab 实例通信。
如果它是自签名证书,则在尝试访问这些 GitLab URL 时不希望出现任何错误/警告,因此 SSL::VERIFY_NONE

但是,客户端(在 GitLab 服务器之外)也使用相同的证书,从他们的浏览器使用相同的 GitLab HTTPS URL。
对于他们来说,自签名证书很有用,前提是他们将其安装在浏览器 keystore 中。
对于这些交易(GitLab 的客户端),证书将被“验证”。


OP Kheldar 中的 point's out :

OpenSSL expects to find each certificate in a file named by the certificate subject’s hashed name, plus a number extension that starts with 0.

That means you can’t just drop My_Awesome_CA_Cert.pem in the directory and expect it to be picked up automatically.
However, OpenSSL ships with a utility called c_rehash which you can invoke on a directory to have all certificates indexed with appropriately named symlinks.

(参见例如 Mislav's post )

cd /some/where/certs
c_rehash .

关于ssl - GitLab 中的 OpenSSL,对自签名证书进行什么验证?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22274561/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com