Hallo zusammen,
ich habe Probleme in unserem größeren Firmenumfeld mit meinen Debianservern Verbindungen nach Außen aufzubauen über HTTPS.
Es gibt ein Zertifikat von unserem RZ das ich einpflegen muss um z.B. apt nutzen zu können. Dieses Zertifikat schiebe ich nach /usr/share/ca-certificates und füge es mit update-ca-certificates und dpkg-reconfigure ca-certificates hinzu. Für apt funktioniert das tadellos.
Allerdings nicht für curl, wget und Konsorten, welche z.B. von Dokuwiki benutzt werden um sich selbst und seine Plugins aktuell zu halten.
Was kann ich da tun um dieses Zertifikat quasi systemweit zu akzeptieren?
Gruß
wget und curl machen kein https
-
Alternativende
- Beiträge: 2091
- Registriert: 07.07.2006 18:32:05
-
heisenberg
- Beiträge: 3567
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: wget und curl machen kein https
Wenn ich gerade mal wget und curl mit strace ausführe ...
... dann sehe ich, dass die beide in /etc/ssl/certs/ca-certificates.crt nachschauen um vertrauenswürdige Root-Zertifikate zu lesen.
Code: Alles auswählen
$ strace -o strace.log wget https://www.debianforum.de
$ cat strace.log | grep ssl
openat(AT_FDCWD, "/etc/ssl/certs/ca-certificates.crt", O_RDONLY|O_CLOEXEC) = 3
Jede Rohheit hat ihren Ursprung in einer Schwäche.
-
Alternativende
- Beiträge: 2091
- Registriert: 07.07.2006 18:32:05
Re: wget und curl machen kein https
Da ist es auch drin. Ich hab auch mal in beiden php.ini´s die Datei /etc/ssl/certs/ca-certificates.crt bei openssl.cafile eingetragen. Aber leider auch ohne Erfolg.
HSTS Domains funktionieren mit wget. Nicht HSTS-Domains funktionieren nicht. Deutet für mich darauf hin, dass das Zertifikat nicht verwendet wird.
HSTS Domains funktionieren mit wget. Nicht HSTS-Domains funktionieren nicht. Deutet für mich darauf hin, dass das Zertifikat nicht verwendet wird.
-
heisenberg
- Beiträge: 3567
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: wget und curl machen kein https
Vielleicht hilft ja mal die Ausgabe von wget https://url hier ...
Jede Rohheit hat ihren Ursprung in einer Schwäche.
Re: wget und curl machen kein https
Kannst du vielleicht bei wget die Option --no-check-certificate verwenden? Ist es ein lokaler Server bei euch? Dann ist das Zertifikat wohl eher unwichtig. Oder du verwendest gleich HTTP statt HTTPS. Für Debian-Pakete ist das mehr als ausreichend, da die Sicherheit der Paketverwaltung gar nicht von HTTPS abhängt.Alternativende hat geschrieben:Es gibt ein Zertifikat von unserem RZ das ich einpflegen muss um z.B. apt nutzen zu können.
Zuletzt geändert von uname am 19.02.2024 14:29:45, insgesamt 1-mal geändert.
-
heisenberg
- Beiträge: 3567
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: wget und curl machen kein https
Du meinst wohl SSL-Interception?uname hat geschrieben:19.02.2024 14:27:47Scheinbar nutzt ihr SSL Inspection auf dem Proxy, da eigentlich die Zertifikate direkt vom Webserver im Internet kommen.
Jede Rohheit hat ihren Ursprung in einer Schwäche.
Re: wget und curl machen kein https
Ich habe es nochmal korrigiert. Wenn der Server lokal ist, dann sind die Zertifikate vielleicht selbst erstellt. Wenn der Server im Internet ist, dann wäre SSL Interception wohl richtig. Vielleicht brauchen wir auch einfach nur mehr Details.
-
Alternativende
- Beiträge: 2091
- Registriert: 07.07.2006 18:32:05
Re: wget und curl machen kein https
Schlussendlich ist die Lösung gewesen, dass ich statt des .CRT eine PEM-Datei importieren musste. Mit der läuft es problemlos.
Vielen Dank für die tolle Unterstützung!
Vielen Dank für die tolle Unterstützung!