SSLError: nom d'hôte “W. X. Y. Z” ne correspond pas au certificat de serveur

J'ai juste commencé à apprendre le Ruby et au bout de quelques choses de base, j'essaie de comprendre faire des appels de REPOS à un service en ruby. Je peux faire des demandes pour de foursquare API, sans aucun problème. D'autre part, les appels à Cisco CMX API donner d'erreur. Ma version de ruby est 2.1.2. J'ai cherché de nombreuses solutions sur le web, mais quand même eu de problème. Ce ma commande shell que je dirige.

De Travail Un

$resclient
>> RestClient.get 'https://api.foursquare.com/v2/venues/search?ll=40.7,-74&oauth_token=0ZDO1JMJ0PW2QTCDK50OGZ21UENHZ0Y3KIDQZJLLURTQNRQ2&v=20150106'

Cela donne une erreur

$restclient
>> RestClient.get 'https://learning:[email protected]/api/contextaware/v1/maps/.json'

Mon journal d'erreur:

OpenSSL::SSL::SSLError: hostname "64.103.26.61" does not match the server certificate
from /Users/apple/.rbenv/versions/2.1.2/lib/ruby/2.1.0/openssl/ssl.rb:139:in `post_connection_check'
from /Users/apple/.rbenv/versions/2.1.2/lib/ruby/2.1.0/net/http.rb:922:in `connect'
from /Users/apple/.rbenv/versions/2.1.2/lib/ruby/2.1.0/net/http.rb:863:in `do_start'
from /Users/apple/.rbenv/versions/2.1.2/lib/ruby/2.1.0/net/http.rb:852:in `start'
from /Users/apple/.rbenv/versions/2.1.2/lib/ruby/gems/2.1.0/gems/rest-client-1.7.2/lib/restclient/request.rb:413:in `transmit'
from /Users/apple/.rbenv/versions/2.1.2/lib/ruby/gems/2.1.0/gems/rest-client-1.7.2/lib/restclient/request.rb:176:in `execute'
from /Users/apple/.rbenv/versions/2.1.2/lib/ruby/gems/2.1.0/gems/rest-client-1.7.2/lib/restclient/request.rb:41:in `execute'
from /Users/apple/.rbenv/versions/2.1.2/lib/ruby/gems/2.1.0/gems/rest-client-1.7.2/lib/restclient.rb:65:in `get'
from (irb):3
from /Users/apple/.rbenv/versions/2.1.2/lib/ruby/gems/2.1.0/gems/rest-client-1.7.2/bin/restclient:93:in `<top (required)>'
from /Users/apple/.rbenv/versions/2.1.2/bin/restclient:23:in `load'
from /Users/apple/.rbenv/versions/2.1.2/bin/restclient:23:in `<main>'

Pourriez-vous nous donner quelques conseils? Merci

OriginalL'auteur Ahmet Tanakol | 2015-01-06

Pourriez-vous nous donner quelques conseils?

Voici une réponse plus détaillée et la façon de résoudre le problème en Ruby avec autre chose que le pathétique OpenSSL::SSL::VERIFY_NONE.

$ openssl s_client -connect 64.103.26.61:443 | openssl x509 -text -noout
depth=2 C = BM, O = QuoVadis Limited, CN = QuoVadis Root CA 2
...
        Subject: C=US, ST=CA, L=San Jose, O=Cisco Systems, Inc., CN=msesandbox.cisco.com
...
            X509v3 Subject Alternative Name: 
                DNS:msesandbox.cisco.com

Si l'appareil a un nom DNS de l'msesandbox.cisco.com. nslookup vous dit un bon nom d'hôte:

$ nslookup msesandbox.cisco.com
Server:     192.168.1.1
Address:    192.168.1.1#53

Non-authoritative answer:
Name:   msesandbox.cisco.com
Address: 64.103.26.61

Donc, la première chose que vous avez à faire est de se connecter par son nom DNS, et non une adresse IP.

Si vous délivrer des certificats pour les cisco.com de domaine (ou peut faire une demande de), vous pouvez demander que l'adresse IP 64.103.26.61 être ajouté comme un autre Nom de l'Objet (SAN). Donc, il y aura deux SANs dans le certificat.

Maintenant, si vous retournez à la openssl commande:

$ openssl s_client -connect 64.103.26.61:443 | openssl x509 -text -noout
depth=2 C = BM, O = QuoVadis Limited, CN = QuoVadis Root CA 2
verify error:num=19:self signed certificate in certificate chain
...
    Issuer: C=US, O=HydrantID (Avalanche Cloud Corporation), CN=HydrantID SSL ICA G2
...
    Subject: C=US, ST=CA, L=San Jose, O=Cisco Systems, Inc., CN=msesandbox.cisco.com

Vous verrez l'émetteur et l'objet sont différents. Cela signifie que ce est pas un certificat auto-signé. Le certificat a été émis par HydrantID (Avalanche Nuage Société).

Si vous regardez plus loin, vous verrez l'Émetteur de la clé publique (l'Identificateur de Clé d'Autorité) est différent de l'Objet de la clé publique (sous réserve Identificateur de Clé):

X509v3 Authority Key Identifier: 
    keyid:98:6A:B6:2D:2E:BF:A7:AA:9F:F6:F7:D6:09:AF:D5:8B:57:F9:8A:B7
...
X509v3 Subject Key Identifier: 
    B5:3D:50:53:0A:A2:06:9E:9A:29:89:7A:AB:96:90:FE:9D:6B:57:A0

De nouveau, il n'est pas auto-signé.

Si vous retournez à la commande OpenSSL encore une fois, vous verrez que l'émetteur est HydrantID SSL ICA G2, et son émetteur est QuoVadis Root CA2 G3:

depth=2 C = BM, O = QuoVadis Limited, CN = QuoVadis Root CA 2
verify return:1
depth=1 C = US, O = HydrantID (Avalanche Cloud Corporation), CN = HydrantID SSL ICA G2
verify return:1
depth=0 C = US, ST = CA, L = San Jose, O = "Cisco Systems, Inc.", CN = msesandbox.cisco.com
verify return:1

Qui signifie QuoVadis Root CA2 G3 émis HydrantID SSL ICA G2; et HydrantID SSL ICA G2 émis msesandbox.cisco.com. QuoVadis Root CA2 G3 est le sommet de la chaîne alimentaire.

Vous pouvez chercher QuoVadis Root CA2 G3 de QuoVadis Certificat d'autorité de certification Télécharger:

$ curl -O -J -L https://www.quovadisglobal.bm/Repository/~/media/Files/Roots/quovadis_rca2g3_der.ashx
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1380  100  1380    0     0   1808      0 --:--:-- --:--:-- --:--:--  5726
curl: Saved to filename 'quovadis_rca2g3_der.cer'

$ openssl x509 -in quovadis_rca2g3_der.cer -inform DER -out quovadis-ca.pem -outform PEM
$ cat quovadis-ca.pem 
-----BEGIN CERTIFICATE-----
MIIFYDCCA0igAwIBAgIURFc0JFuBiZs18s64KztbpybwdSgwDQYJKoZIhvcNAQEL
BQAwSDELMAkGA1UEBhMCQk0xGTAXBgNVBAoTEFF1b1ZhZGlzIExpbWl0ZWQxHjAc
BgNVBAMTFVF1b1ZhZGlzIFJvb3QgQ0EgMiBHMzAeFw0xMjAxMTIxODU5MzJaFw00
...
-----END CERTIFICATE-----

SI en qui vous avez confiance QuoVadis pour certifier l'appareil, puis:

$ openssl s_client -connect msesandbox.cisco.com:443 -CAfile quovadis-ca.pem 
CONNECTED(00000003)
depth=2 C = BM, O = QuoVadis Limited, CN = QuoVadis Root CA 2
verify return:1
depth=1 C = US, O = HydrantID (Avalanche Cloud Corporation), CN = HydrantID SSL ICA G2
verify return:1
depth=0 C = US, ST = CA, L = San Jose, O = "Cisco Systems, Inc.", CN = msesandbox.cisco.com
verify return:1
...

    Start Time: 1420616960
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)

Avis OpenSSL fini avec Verify return code: 0 (ok). Qui vous dit que vous avez une bonne chaîne. OpenSSL ne pas effectuer le nom d'hôte correspondant, mais nous savons déjà que le nom d'hôte dans le certificat est bon.

Maintenant, pour du code Ruby. Tout ce que vous devez faire est de brancher le CA en Ruby:

#!/usr/bin/ruby

require 'net/http'
require 'net/https'
require 'openssl'

uri = URI('https://msesandbox.cisco.com:443')

options_mask = OpenSSL::SSL::OP_NO_SSLv2 | OpenSSL::SSL::OP_NO_SSLv3 | OpenSSL::SSL::OP_NO_COMPRESSION

http = Net::HTTP.new(uri.host, uri.port)
request = Net::HTTP::Get.new(uri.request_uri)

if uri.scheme == "https"
  http.use_ssl = true
  http.verify_mode = OpenSSL::SSL::VERIFY_PEER
  http.ca_file = File.join(File.dirname(__FILE__), "quovadis-ca.pem")
  # http.ssl_options = options_mask
end

response = http.request request

Et voici un run:

$ ./Connect-Test.rb 
$

Pas d'exceptions, et pas de OpenSSL::SSL::VERIFY_NONE.

Vous devriez essayer d'utiliser options_mask car il élimine les faibles/blessés/cassé protocoles. Mais Ruby est tellement brisé et sans-papiers, à la fois, je n'ai jamais été en mesure de l'obtenir pour fonctionner.

J'ai été en mesure de racine de confiance dans les deux HydrantID SSL ICA G2 et QuoVadis Root CA2 G3 avec OpenSSL (ce qui signifie que je suis un Verify Result 0 (OK) de OpenSSL). Mais Ruby ne pouvait gérer QuoVadis Root CA2 G3 (il ne pouvait pas construire une chaîne de HydrantID SSL ICA G2). Plus Ruby cassé-ness.

Merci pour votre réponse détaillée. Maintenant, je comprends la question. Il ressemble à ce certificat auto-signé n'est pas bon pour mon localhost. J'ai installé un joyau appelé certifié qui s'occupe de ce problème (je ne sais pas comment ça marche), j'ai enlevé OpenSSL::SSL::VERIFY_NONE de mon code. Comme vous l'avez dit, pour la production, je vais télécharger le certificat de QuoVadis Certificat d'autorité de certification Télécharger

OriginalL'auteur jww

1

Si vous allez à votre ordinateur Hôte avec un navigateur, comme
```
>  https://64.103.26.61/
```
vous verrez, vous obtiendrez la même erreur. Le certificat sur le serveur n'est pas valide, le serveur répond sur un autre nom d'hôte que l'on écrit dans le certificat.

Vous pouvez consulter une description plus riche si vous entrez l'adresse du Serveur à Digicert Helpcenter. Le Certificat a été émis à msesandbox.cisco.com. Si c'est l'adresse que vous essayez d'atteindre, utilisez celui-ci au lieu de l'IP. Si c'est votre Serveur, Modifiez le Nom de la

Malheureusement, il n'est pas le mien.
Ensuite, essayez de configurer votre Connexion via RestClient.get 'learning:[email protected]/api/contextaware/v1/maps/... " ou essayer de contacter l'admin
Merci s'accoupler, le problème est résolu. J'ai posté le code
Eh bien, c'est la façon dont vous pourriez le faire, mais c'est assez dangereux, c'est pourquoi je n'ai pas de le recommander à vous

OriginalL'auteur chenino
-4

Un presque toujours mauvaise solution de contournement consiste à ignorer le certificat SSL vérifie:
```
:verify_ssl => OpenSSL::SSL::VERIFY_NONE
```
Mise à JOUR: Cette solution de contournement presque jamais être privilégiées, car, en général, résumant à une flagrante trou de sécurité qui est facile à oublier. Dans la plupart des cas où vous penseriez que vous voulez SSL sans vérifier le certificat, vous feriez mieux par la génération d'un certificat auto-signé et de verrouillage des deux côtés de l'utilisation de la même.

Non, ce n'est pas une solution. faire partie d'une solution, comme Public Key Pinning. Mais comme un stand alone de mesure, de ses pas de solution du tout.

OriginalL'auteur Ahmet Tanakol

Vous devez vous connecter pour publier un commentaire.