Impossible de vérifier la signature de la feuille

Je suis en utilisant node.js request.js pour parvenir à un api. J'obtiens cette erreur

[Erreur: UNABLE_TO_VERIFY_LEAF_SIGNATURE]

Toutes mes informations sont exactes et valides, et le serveur est très bien. J'ai fait la même demande avec facteur.

request({
    "url": domain+"/api/orders/originator/"+id,
    "method": "GET",
    "headers":{
        "X-API-VERSION": 1,
        "X-API-KEY": key
    },
}, function(err, response, body){
    console.log(err);
    console.log(response);
    console.log(body);
});

Ce code est juste en cours d'exécution dans un script exécutable ex. node ./run_file.js, C'est pourquoi? Est-il besoin d'exécuter sur un serveur?

  • C'est un long shot, mais se pourrait-il que l'API est de ne pas reconnaître l'agent utilisateur d'être passé par votre nœud programme?
  • Hum...voir aussi ceci: blog.gaeremynck.com/fixing-unable_to_verify_leaf_signature
  • J'ai pu lire de l'api dans le postier parfaitement. Pourquoi pas le nœud de le faire? J'ai essayé de changer le user agent, pas de chance.
InformationsquelleAutor ThomasReggi | 2013-11-19
  1. 127

    Note: la suite est dangereux, et permettra à l'API de contenu pour être interceptées et modifiées entre le client et le serveur.

    Ça marchait aussi

    process.env['NODE_TLS_REJECT_UNAUTHORIZED'] = '0';

    • Je upmodded cela, et merci pour la réponse, mais il est activement nuire à votre sécurité. Vous devez ajouter le manque CA par @CoolAJ86 la réponse ci-dessous.
    • Je suis l'aide de la NodeJS plugin appelé nodemailer et nodemailer-smtp-transport et général, de la même commande a fonctionné. Vous devez l'ajouter à votre createTransport objet: tls:{rejectUnauthorized: false}
    • tout aussi précaire avec nodemailer je suppose que, si. Il y a un indice dans le nom: si quelque chose de Unautorisé, en général, vous souhaitez rejeter, par définition. Ce que vous avez besoin est de trouver un moyen d'autoriser correctement (par la mise en place des certificats de CA correctement, comme d'autres réponses ont déjà dit).
    • Je suis d'accord, vous devez configurer le droit chemin avec des certificats. Je voulais simplement à l'installation d'un test rapide pour une démo, donc le code que j'ai posté est une solution rapide. Je devrais ont précédés que dans mon commentaire.
    • Il n'y a pas de problème de sécurité si la demande est sur le même serveur, et vous êtes le seul propriétaire.
    • Correct. J'ai eu cette erreur arrive lorsque plusieurs microservices sur le même local de développement de l'environnement "parlé" les uns aux autres. Les certificats ont été pour les domaines de la réalité mais ils n'étaient pas valables localement.

    InformationsquelleAutor ThomasReggi
  2. 82

    Ce n'est pas un problème avec l'application, mais avec le certificat qui est signé par un intermédiaire, CA.
    Si vous accepter ce fait et encore envie de continuer, ajoutez les lignes suivantes à la demande options: 

    rejectUnauthorized: false

    Demande complète:

    request({
    "rejectUnauthorized": false,
    "url": domain+"/api/orders/originator/"+id,
    "method": "GET",
    "headers":{
        "X-API-VERSION": 1,
        "X-API-KEY": key
    },
}, function(err, response, body){
    console.log(err);
    console.log(response);
    console.log(body);
});
    • J'ai ce problème en ce moment au travail. J'ai soumis un ticket leur disant SSL peut être mal configuré -- ils m'ont dit que j'étais fou. Est-il plus d'informations je peux lui donner pour résoudre ce problème?
    • Essayez d'utiliser SSL analyseur pour vérifier que le serveur: sslanalyzer.comodoca.com
    • Ce n'est pas vraiment correct: comme CoolAJ86 et hectorcorrea mentionner, le certificat est valide, mais il est signé par un intermédiaire, CA.
    • Merci, mise à jour de la réponse
    InformationsquelleAutor Andrei Karpushonak
  3. 67

    La Solution Sécuritaire

    Plutôt que de désactivation de sécurité, vous pouvez ajouter les certificats nécessaires à la chaîne. Tout d'abord installer ssl-racine-cas paquet de mnp:

    npm install ssl-root-cas

    Ce paquet contient de nombreux certificats intermédiaires, les navigateurs de confiance, mais aussi de noeud ne.

    var sslRootCAs = require('ssl-root-cas/latest')
sslRootCAs.inject()

    Va ajouter les certificats manquants. Voir ici pour plus d'infos:

    https://git.coolaj86.com/coolaj86/ssl-root-cas.js

    Aussi, Voir la réponse ci-dessous

    • Le client Http de ne pas utiliser le Windows Autorités de Certification Racine approuvées magasin de certificats?
    • nœud utilise mozilla certs regroupés dans le binaire et il remplace à chaque fois que vous fournissez votre propre ca tableau. Je ne sais pas si son module http cherchera également à l'OS de la chaîne. Cependant, curl sur OS X semble être la seule à utiliser le système d'exploitation de la chaîne et ne pas permettre spécifié manuellement certs.
    • Est-ce que avez à exécuter pour chaque processus, ou puis-je exécuter une seule fois et de mettre à jour mes certificats à l'échelle mondiale?
    • Les certificats sont stockés dans des à deux endroits: (1) intégré à la node.js binaire (2) le système d'exploitation du fichier de clés. Si votre certs sont pas à jour, vous devrez l'inclure dans votre code en cours d'exécution. Il ne change pas le nœud binaire, ni votre système d'exploitation le dossier du projet.
    • par le moyen github.com/coolaj86/node-ssl-root-cas n'est plus maintenu, il sais "nœud-ssl-racine-cas Déménagé à git.daplie.com/Daplie/node-ssl-root-cas" mais dans la question du Serveur #34 github.com/Daplie/node-ssl-root-cas/issues/34 en fin de compte, les isc "C'est la vraie repo: git.coolaj86.com/coolaj86/ssl-root-cas.js".
    • Quelqu'un détourné le redirige vers mon dépôt des projets par la création d'un spam compte avec mon nom. J'ai contacté github à ce sujet et nous espérons qu'il sera rétabli rapidement, alors le lien devrait fonctionner à nouveau.

    InformationsquelleAutor CoolAJ86
  4. 42

    CoolAJ86 la solution est correcte et il n'a pas compromettre votre sécurité, comme la désactivation de toutes les vérifications à l'aide de rejectUnauthorized ou NODE_TLS_REJECT_UNAUTHORIZED. Encore, vous pourriez avoir besoin d'injecter un supplément de certificat d'AC explicitement.

    J'ai essayé en premier les autorités de certification racines inclus par le ssl-racine-cas module:

    require('ssl-root-cas/latest')
  .inject();

    J'ai toujours fini avec la UNABLE_TO_VERIFY_LEAF_SIGNATURE erreur. Puis, j'ai découvert qui a délivré le certificat pour le site web, j'ai été de la connexion par le COMODO SSL Analyseur, téléchargé le certificat de l'autorité et essayé d'ajouter seulement que l'on:

    require('ssl-root-cas/latest')
  .addFile(__dirname + '/comodohigh-assurancesecureserverca.crt');

    J'ai une autre erreur: CERT_UNTRUSTED. Enfin, j'ai injecté le supplémentaires des autorités de certification racine et inclus "mon" (apparemment intermédiaire) CA, qui a travaillé:

    require('ssl-root-cas/latest')
  .inject()
  .addFile(__dirname + '/comodohigh-assurancesecureserverca.crt');
    • J'étais connexion à un site web avec un certificat émis par le COMODO d'Assurance Élevée Serveur Sécurisé de CA. J'ai téléchargé le certificat de leur page de téléchargement.
    • Merci!!!! Pour mon problème j'ai besoin d'ajouter l'ensemble de la chaîne de certificats de sortir de cette erreur. Pour d'autres, référence, ce post m'a montré comment exporter facilement le nécessaire pem fichiers via Firefox : superuser.com/a/97203
    • Eh bien merci pour l'aide. Dans mon cas, en fin de compte c'était une mauvaise configuration du serveur SSL, pas de nœud. Pas tous les certificats intermédiaires ont été installés sur le serveur.
    • si vous obtenez le cert comme un .cer exécuter ce openssl x509 -inform DER -in YOUR_CERTIFICATE.cer -out YOUR_CERTIFICATE.crt de convertir-t-il à un .crt à l'avance
    InformationsquelleAutor Ferdinand Prantl
  5. 2

    Juste de mettre ça ici au cas où il permet à quelqu'un, mon cas était différent et un peu d'un mélange bizarre. J'ai été faire cela sur une demande qui est accessible via superagent - le problème n'avait rien à voir avec des certificats (qui ont été configurés correctement) et tout à voir avec le fait que j'ai été en passant ensuite le superagent résultat par le biais de la async du module de cascade en rappel. Pour corriger: au Lieu de passer tout le résultat, il suffit de passer result.body à travers la cascade de rappel.

    InformationsquelleAutor k00k
  6. 2

    Pour Créer Réagir Application (lorsque cette erreur se produit également, et cette question est le n ° 1 de résultats sur Google), vous êtes probablement en utilisant HTTPS=true npm start et un proxy (en package.json) qui va à certains HTTPS API qui lui-même est auto-signé, quand dans le développement.

    Si c'est le cas, envisager de changer de proxy comme ceci:

    "proxy": {
  "/api": {
    "target": "https://localhost:5001",
    "secure": false
  }
}

    secure décide si le WebPack proxy vérifie la chaîne de certificats ou pas et la désactivation de la qui assure l'API certificat auto-signé n'est pas vérifiée de sorte que vous obtenez de vos données.

    InformationsquelleAutor Tomáš Hübelbauer
  7. 2

    J'ai eu les mêmes problèmes. J'ai suivi de @ThomasReggi et @CoolAJ86 solution et bien fonctionné, mais je ne suis pas satisfait de la solution.

    Parce que "UNABLE_TO_VERIFY_LEAF_SIGNATURE" de l'émission est produit en raison de certification niveau de la configuration.

    J'accepte @thirdender solution mais sa solution partielle.Comme par le nginx site officiel, ils ont clairement mentionné certificat doit être la combinaison du certificat du serveur et les chaînes de certificats.

    Impossible de vérifier la signature de la feuille

    InformationsquelleAutor Sharathi RB
  8. 0

    J'ai eu un problème avec ma configuration d'Apache après l'installation d'un certificat GoDaddy sur un sous-domaine. J'ai d'abord pensé qu'il pourrait être un problème avec Noeud pas l'envoi d'un Serveur de Nom de l'Indicateur (SNI), mais ce n'était pas le cas. L'analyse de la sous-domaine certificat SSL avec https://www.ssllabs.com/ssltest/ a renvoyé l'erreur de les problèmes de la Chaîne: Incomplet.

    Après l'ajout de la GoDaddy fourni gd_bundle-g2-g1.crt fichier via le SSLCertificateChainFile directive Apache, le Noeud a été en mesure de se connecter via HTTPS et l'erreur a disparu.

    InformationsquelleAutor thirdender
  9. 0

    Mettre rejectUnauthorized: faux dans la pétition, et qui a fonctionné pour moi.

    InformationsquelleAutor Amn
  10. 0

    Vous devez inclure le certificat Intermédiaire de votre serveur. Cela résout le [Erreur: UNABLE_TO_VERIFY_LEAF_SIGNATURE]

    InformationsquelleAutor Abey Thomas