Comment dois-je traiter avec des certificats à l'aide de cURL, tout en essayant d'accéder à une url HTTPS?

J'obtiens l'erreur suivante à l'aide de curl:

curl: (77) erreur de configuration du certificat de vérifier les emplacements: 
CAfile: /etc/ssl/certs/ca-certificates.crt 
CApath: aucun

Comment puis-je régler ce certificat vérifier les emplacements? Merci.

Quel OS/distrib êtes-vous? Vous devez installer le paquet ca-certificates (c'est ce qu'il est appelé sur debian/ubuntu).
Pour référence future, je l'avais déjà ca-certificates installé, mais l'erreur persiste. Le problème était que mes certificats ont été situé dans /etc/ssl/certs/ca-certificates.crt au lieu de /etc/pki/tls/certs/ca-bundle.crt, donc j'ai juste eu à définir la variable d'environnement CURL_CA_BUNDLE pour le chemin d'accès correct.
Cool! Il fonctionne pour moi lorsque j'ai mis export CURL_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt.
Merci!

InformationsquelleAutor moorecats | 2010-07-01

66

Cette erreur est liée à un paquet manquant: ca-certificates. L'installer.

Dans Ubuntu Linux (et autres distro):
```
# apt-get install ca-certificates
```
Dans CygWin via Apt-Cyg
```
# apt-cyg install ca-certificates
```
Dans Arch Linux (Raspberry Pi)
```
# pacman -S ca-certificates
```
La documentation dit:

Ce forfait comprend PEM fichiers de certificats d'autorité de certification pour permettre SSL applications pour vérifier l'authenticité des connexions SSL.

Comme on le voit dans: Debian -- Détails du paquet ca-certificates dans squeeze
- ca-certificates est déjà la plus récente version, mais je suis encore en train de l'erreur
- Bien sûr, vous aurez ce même message d'erreur si vous essayez d'installer apt-cyg via la méthode recommandée pour l'utilisation de curl et raw.github.com.
- Fonctionne pour moi en MSYS2. Merci!
- Même en tant que Pasteur de l'Os; cette réponse est mauvaise.
- Sur Arch Linux, vous pourriez aussi avoir besoin pacman -S ca-certificates-utils. Je l'ai fait.
- comment le faire dans windows?
- Si vous êtes encore en train de l'erreur, il suffit de réinstaller - je le fixe dans cygwin64 sur Windows 10 en faisant: apt-cyg remove ca-certificates et puis apt-cyg install ca-certificates
- Ce package est déjà installé. Cette réponse n'est pas utile.
- J'ai eu le même problème que le paquet a déjà été dernier, je pense qu'il avait été corrompu un sudo apt install --reinstall ca-certificates réinstallé le paquet et résolu les erreurs que j'ai été voir
- Je me rends compte qu'il est parfait pour dockerfile pour obtenir compositeur installé, merci
InformationsquelleAutor Rubens Mariuzzo
144

J'ai également eu la nouvelle version de ca-certificates installé, mais était encore en train de l'erreur:
```
curl: (77) error setting certificate verify locations:
  CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
```
Le problème était que le curl attendu que le certificat soit sur le chemin d'accès /etc/pki/tls/certs/ca-bundle.crt mais ne pouvait pas le trouver, car il était à la voie /etc/ssl/certs/ca-certificates.crt.

La copie de mon certificat à la destination prévue par l'exécution de
```
sudo cp /etc/ssl/certs/ca-certificates.crt /etc/pki/tls/certs/ca-bundle.crt
```
a fonctionné pour moi. Vous aurez besoin de créer des dossiers pour la cible, si elles n'existent pas en cours d'exécution
```
sudo mkdir -p /etc/pki/tls/certs
```
Si nécessaire, modifiez la commande ci-dessus pour rendre le nom de fichier de destination correspondre au chemin d'accès prévu par curl, c'est à dire remplacer /etc/pki/tls/certs/ca-bundle.crt avec le chemin d'accès suivant "CAfile:" dans votre message d'erreur.
- Vous pouvez également créer un lien symbolique avec ln -s si vous ne voulez pas de re-copier à chaque fois que vous le mettez à jour.
- Eu le même problème pour rescuetime application sur Fedora 25. sudo ln -s /etc/pki/tls/certs/ca-bundle.crt /etc/pki/tls/certs/ca-certificates.crt résolu le problème. (CURL_CA_BUNDLE env var n'a pas fonctionné)
InformationsquelleAutor Scott Emmons
79

Mettre ceci dans votre .bashrc
```
# fix CURL certificates path
export CURL_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt
```
(voir le commentaire de Robert)
- Merci de fournir une méthode qui ne nécessite pas de moi de la boue jusqu'système de fichiers à la main, mais conserve encore la sécurité dans l'utilisation des certificats!
- cela a fonctionné pour moi
- fonctionne pour moi, trop
- Je vous remercie. Cela a résolu mon problème similaire avec pyenv & curl. J'ai été en utilisant Ubuntu 14.04 et déjà eu ca-certificates installé.
- merci, la, le, les dieux
- oui, il a travaillé avec linux brew
- Cette approche fonctionne aussi avec xonsh (ajouter $CURL_CA_BUNDLE = "/etc/ssl/certs/ca-certificates.crt" à la .xonshrc).
- Juste au cas où: L'un liner version de ce: CURL_CA_BUNDLE=/path/to/bundle.crt curl http://example.com
InformationsquelleAutor Yauhen Yakimovich
28

Créer un fichier ~/.curlrc avec le contenu suivant
```
cacert=/etc/ssl/certs/ca-certificates.crt
```
- fonctionne pour Ubuntu 14.10
- et Ubuntu 14.04
- J'ai déjà qu'
- Cela a fonctionné pour moi sur macOS
- la meilleure réponse, cela a fonctionné pour moi sur Linux Mint 17
InformationsquelleAutor prabeesh
18

Le moyen le plus rapide pour contourner l'erreur est d'ajouter l'option-k quelque part dans votre demande curl. Que l'option "permet les connexions SSL cites sans certs." (à partir de curl --help)

Être conscient que cela peut signifier que vous n'êtes pas en parler à l'extrémité vous pensez que vous êtes, car ils sont la présentation d'un certificat n'est pas signé par une autorité de certification de confiance.

Par exemple:
```
$ curl -o /usr/bin/apt-cyg https://raw.github.com/cfg/apt-cyg/master/apt-cyg
```
m'a donné l'erreur suivante réponse:
```
curl: (77) error setting certificate verify locations:
  CAfile: /usr/ssl/certs/ca-bundle.crt
  CApath: none
```
J'ai ajouté sur k:
```
curl -o /usr/bin/apt-cyg https://raw.github.com/cfg/apt-cyg/master/apt-cyg -k
```
et aucun message d'erreur. Comme un bonus, maintenant, j'ai apt-cyg installé. Et ca-certificates.
- Qui pourrait contourner l'erreur, mais il fait également de la connexion "sécurisée" devenir précaire.
- Pas vraiment. Autant que je sache, vous ne pouvez pas contourner le cryptage de connexion sécurisée, il est donc encore chiffré et allons à un seul point de terminaison. Quelqu'un me corrige si je me trompe, mais le seul risque que vous courez est que vous avez peut-être en proie à un man-in-the-middle attack. Toujours pas probablement un risque si vous êtes à l'aide de curl.
- Oui, vraiment. Le "k" est un raccourci pour "--l'insécurité". Si vous avez des man-in-the-middle " que pensez-vous qu'il fait avec vos données ? Spoiler alerte: il est le décrypter, voler, et éventuellement de le modifier et de l'injection de retour dans le flux d'insécurité. Directement à partir de la page de man : "-k, --sécurisé (SSL) Cette option permet explicitement curl pour effectuer "l'insécurité" connexions SSL et les transferts. Toutes les connexions SSL sont tenté d'être sécurisée en utilisant le certificat d'autorité de certification faisceau installé par défaut. Cela rend toutes les connexions considéré comme "l'insécurité" pas, sauf si -k, --l'insécurité est utilisé."
- Si vous avez besoin de SSL vous avez besoin de vie privée et de la vérification de la -k drapeau signifie que vous êtes perdre vérification. Selon vos besoins, cela peut être acceptable. MITM sont non-trivial attaques si vous supposez votre réseau et le serveur que vous êtes en communication avec sont garantis à partir d'intrus (pouvez-vous faire une telle supposition?). Le risque augmente en fonction du type de données (code source et certs sont plus risqués que les images). Vous pouvez vérifier l'intégrité des données après le transfert (les sommes de contrôle, etc.) mais maintenant vous êtes à déplacer votre confiance sur le canal de la somme de contrôle. En fin de compte -k vous donne un peu plus de travail.
- Donc ça veut dire que si j'utilise un certificat Auto-signé. Je devrais être à l'aide de l'option-k. Comme il peut ne pas être possible de vérifier le certificat Auto-signé ?
- Non, -k serait de travailler avec aucun certificat. Les certificats auto-signés devrait fonctionner (si vous dites à curl à ce sujet).
- Je suis assez sûr un cert est nécessaire pour SSL. @Linus, vous pouvez soit utiliser -k, et décidez de faire confiance à tout MITM, ou assurez-vous que votre cert ou l'autorité de certification que vous avez signé avec est dans votre magasin de certificats de confiance.
InformationsquelleAutor 10gistic
13

@roens est correct. Cela affecte toutes les Anaconda utilisateurs, avec d'erreur ci-dessous

curl: (77) error setting certificate verify locations: CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none

La solution de contournement consiste à utiliser la valeur par défaut du système de roulage et de éviter de jouer avec la préfixé Anaconda PATH variable. Vous pouvez soit
1. Renommer l'Anaconda curl binaire 🙂
  
  mv /path/to/anaconda/bin/curl /path/to/anaconda/bin/curl_anaconda
2. OU supprimer Anaconda curl
  
  conda remove curl
$ which curl /usr/bin/curl

[0] Anaconda Ubuntu curl Github question https://github.com/conda/conda-recipes/issues/352
- Bonne trouvaille, je ne savais pas Anaconda a été volé mon chemin de priorité. Il a travaillé une fois que j'ai remplacé curl avec le chemin d'accès complet /usr/bin/curl
InformationsquelleAutor Harsha Manjunath

De $ man curl:

--cert-type <type>
    (SSL) Tells curl what certificate type the provided  certificate
    is in. PEM, DER and ENG are recognized types.  If not specified,
    PEM is assumed.

    If this option is used several times, the last one will be used.

--cacert <CA certificate>
    (SSL) Tells curl to use the specified certificate file to verify
    the peer. The file may contain  multiple  CA  certificates.  The
    certificate(s)  must be in PEM format. Normally curl is built to
    use a default file for this, so this option is typically used to
    alter that default file.

InformationsquelleAutor Puri-iOS Developer

6

Cela a fonctionné pour moi
```
sudo apt-get install ca-certificates
```
puis aller dans le dossier de certificats à
```
sudo cd /etc/ssl/certs
```
ensuite, vous copiez le ca-certificates.crt fichier dans le /etc/pki/tls/certs
```
sudo cp ca-certificates.crt /etc/pki/tls/certs
```
si il n'y a pas de tls/certs dossier: créer et de modifier les autorisations à l'aide de la commande chmod 777 -R folderNAME
- J'ai essayé mais cela ne fonctionne pas pour moi et je reçois toujours le même message d'erreur. Des idées ?
InformationsquelleAutor Kwame Yeboah
6

Une autre solution pour résoudre ce problème est de désactiver la validation du certificat:
```
echo insecure >> ~/.curlrc
```
- Solution de contournement, mais il m'aide, après trop de temps avec curl certificats. Merci.
InformationsquelleAutor Pablo R. Mier
5

De code PHP en cours d'exécution sur XAMPP sous Windows j'ai trouvé j'ai besoin de modifier php.ini pour inclure le ci-dessous
```
[curl]
; A default value for the CURLOPT_CAINFO option. This is required to be an
; absolute path.
curl.cainfo = curl-ca-bundle.crt
```
et ensuite copier un fichier https://curl.haxx.se/ca/cacert.pem et renommer curl-ca-bundle.le tube et le placer sous \xampp chemin (je ne pouvais pas obtenir curl.capath de travail). J'ai aussi trouvé le CAbundle sur le cURL site n'était pas assez pour le site distant, j'étais connexion, donc utilisé celui qui est répertorié avec un pré-compilé la version Windows de curl 7.47.1 à http://winampplugins.co.uk/curl/
- Sur windows, vous pouvez aussi simplement ajouter "xampp" avant de php comme ceci: curl.cainfo = "C:\xampp\php\extras\cacert.pem"
InformationsquelleAutor LJT
4

curl effectue SSL de la vérification du certificat par défaut, à l'aide d'un "bundle"
de Certificate Authority (CA) clés publiques (CA cert). La valeur par défaut
bundle est nommé curl-ca-bundle.crt; vous pouvez spécifier un autre fichier
à l'aide de l' --cacert option.

Si ce HTTPS serveur utilise un certificat signé par une autorité de certification représentés dans
le bundle, le certificat de vérification probablement échoué en raison d'une
problème avec le certificat (peut-être expiré ou que le nom pourrait
ne pas correspondre au nom de domaine dans l'URL).

Si vous souhaitez désactiver curl vérification du certificat, l'utilisation
le-k (ou --insecure) option.

par exemple
```
curl --insecure http://........
```
- Juste un aparté que "faire confiance à la source" est peu pertinent ici, car sans la validation de la cert contre une autorité de certification, vous n'avez aucune idée de qui est "la source" est.
InformationsquelleAutor meda
4

Il semble que votre curl points pour un fichier non-existant avec CA certs ou similaire.

Pour la base de référence sur CA cert avec curl, voir: https://curl.haxx.se/docs/sslcerts.html

InformationsquelleAutor Daniel Stenberg
2

Pour ce que ça vaut, la vérification de which curl est en cours d'exécution est également significatif.

Un utilisateur partagée, sur une machine que je maintiens, avait été de faire cette erreur. Mais la cause s'est avéré être parce qu'ils avaient installé Anaconda (http://continuum.io). Faire mettre Anaconda binaire du chemin avant de la norme $PATH, et il est livré avec son propre curl binaire, qui avait de la difficulté à trouver le défaut certs que ont été installé sur cette machine Ubuntu.
- Je vous recommandons de vérifier which -a curl de voir tout ce qui est disponible, et bien sûr de noter que l'on vient sur le dessus.
InformationsquelleAutor roens
2

J'ai eu exactement le même problème. Comme il s'avère, mon /etc/ssl/certs/ca-certificates.crt fichier a été mal formé. La dernière entrée a montré quelque chose comme ceci:
```
-----BEGIN CERTIFICATE-----
MIIEDTCCAvWgAwIBAgIJAN..lots of certificate text....AwIBAgIJAN-----END CERTIFICATE-----
```
Après l'ajout d'un saut de ligne avant -----END CERTIFICATE-----, curl a été en mesure de le manipuler le fichier de certificats.

C'était très ennuyeux pour savoir depuis mon update-ca-certificates commande ne m'a pas donné d'avertissement.

Cela peut ou peut ne pas être une version du problème spécifique de la boucle, voici donc ma version, juste pour être complet:
```
curl --version
# curl 7.51.0 (x86_64-alpine-linux-musl) libcurl/7.51.0 OpenSSL/1.0.2j zlib/1.2.8 libssh2/1.7.0
# Protocols: dict file ftp ftps gopher http https imap imaps pop3 pop3s rtsp scp sftp smb smbs smtp smtps telnet tftp 
# Features: IPv6 Largefile NTLM NTLM_WB SSL libz TLS-SRP UnixSockets 
```
- mise à jour-ca-trust fonctionne pour moi ( sur l'Arche ).
InformationsquelleAutor ShrimpPhaser
1

Exécuter la commande suivante dans git bash qui fonctionne très bien pour moi
```
git config --global http.sslverify "false"
```
InformationsquelleAutor J4cK
1

Si vous utilisez homebrew sur macOS ou linuxbrew dans linux, essayez de réinstaller le openssl et curl avec les étapes suivantes de cette page.

Ce message d'erreur indique que curl n'est pas en mesure d'établir une connexion sécurisée à l'aide d'openssl. Une réinstallation de openssl devrait résoudre le problème. Pour rendre temporairement l'utilisation de l'insécurité de connexion pour les deux curl et git pour télécharger les fichiers, exécutez:
```
echo insecure >> ~/.curlrc
git config --global http.sslVerify false
```
Puis, d'installer ou de réinstaller openssl et curl:
```
HOMEBREW_CURLRC=1 brew reinstall openssl curl
```
Enfin, annuler les modifications de sécurité pour faire du roulage et git utiliser des connexions sécurisées à nouveau:
```
sed -i '/^insecure$/d' ~/.curlrc
git config --global http.sslVerify true
```
Vous pourriez avoir besoin pour commencer une nouvelle session de shell pour vérifier le résultat avec
```
curl -v https://github.com # or any other https urls.
```
Si elle montre de sortie en sortie, le problème devrait être résolu!
```
* successfully set certificate verify locations:
*   CAfile: /usr/local/etc/openssl/cert.pem
    CApath: /usr/local/etc/openssl/certs
```
Références:
- Après des heures à essayer. Ce qui m'a sauvé. La bonne solution pour macos enfin. Merci beaucoup! 🙂
InformationsquelleAutor Itachi
1

Il suffit de créer les dossiers, ce qui est manquant dans votre système..

/etc/pki/tls/certs/

et de créer le fichier à l'aide de la commande suivante,

sudo apt-get install ca-certificates

puis copiez et collez le certificat dans le dossier de destination, qui est de montrer dans votre erreur.. le mien était " with message 'error setting certificate verify locations: CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none' in " assurez-vous de coller le fichier à l'emplacement exact mentionné dans l'erreur. Utilisez la commande suivante pour copier coller..

sudo cp /etc/ssl/certs/ca-certificates.crt
/etc/pki/tls/certs/ca-bundle.crt

Fixe.

InformationsquelleAutor Manu R S
0

L'erreur est due à corrompus ou manquants SSL chaîne fichiers de certificats de l'ICP répertoire.
Vous devrez vous assurer que les fichiers ca-bundle, comme suit:
Dans votre console/terminal:
```
mkdir /usr/src/ca-certificates && cd /usr/src/ca-certificates
```
Entrer sur ce site: https://rpmfind.net/linux/rpm2html/search.php?query=ca-certificates , obtenir votre autorité de certification-certificat, DONC.
Copier l'url de téléchargement et de le coller dans l'url:
wget your_url_donwload_ca-ceritificated.tr /min
maintenant, installez yout tr /min:
```
rpm2cpio your_url_donwload_ca-ceritificated.rpm | cpio -idmv
```
maintenant redémarrer votre service:
mon exemple de cette commande:
```
sudo service2 httpd restart
```
InformationsquelleAutor Santos L. Victor

Résolution de ce problème pour moi :

curl --remote-name --time-cond cacert.pem \
    https://curl.haxx.se/ca/cacert.pem

InformationsquelleAutor Reza Farshi

0

J'ai trouvé ce correctif à être un moyen facile et sécurisé correctif.
Il a juste implique de modifier le chemin d'accès de deux valeurs à la php.ini fichier.
Suivez les instructions ici:
https://ourcodeworld.com/articles/read/196/xampp-wampp-php-ssl-certificate-error-unable-to-get-local-issuer-certificate

InformationsquelleAutor Will Ward
0

Soufflet de décrire les étapes à résolu les problèmes.

1. Découvrez le fichier existe sur le définir des url.

2. Si non, alors téléchargez le fichier à partir de l'url. https://curl.haxx.se/ca/cacert.pem

3. Copie de pest et de le fichier dans le chemin d'accès défini par php.fichier ini.

4. Redémarrer le service apache.

InformationsquelleAutor tapas talukder
0

J'ai eu ce problème et il s'est avéré que ma version de CURL ne pouvait pas analyser DER certificats codés (et qui n'a pas de prêter attention à l' --cert-type d'option, soit). Quand je me suis converti le certificat au format PEM, il a travaillé.

InformationsquelleAutor Joshua Davies

Vous devez vous connecter pour publier un commentaire.

si il n'y a pas de tls/certs dossier: créer et de modifier les autorisations à l'aide de la commande chmod 777 -R folderNAME