23

我正在尝试通过 Facebook 或 Twitter 对用户进行身份验证,让他们填写信息,然后单击保存(从而创建用户记录)。我在最后一步遇到 OpenSSL 错误——点击保存后。这发生在 Devise RegistrationsController#create 方法中。

所以我在托管在 Heroku 上的 Rails 应用程序中遇到了这个错误:

2012-07-28T18:25:13+00:00 app[web.1]: OpenSSL::SSL::SSLError (SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed)

我见过很多解决方案,但没有一个有效。以下是我尝试过的一些事情:

1)安装certified宝石

2)升级Heroku gem到v2.30,再次推送

3)这个:

Rails.application.config.middleware.use OmniAuth::Builder do
  provider :twitter, TWITTER_KEY, TWITTER_SECRET, {:client_options => {:ssl => {:ca_file => "/usr/lib/ssl/certs/ca-certificates.crt"}}}
  provider :facebook, FACEBOOK_KEY, FACEBOOK_SECRET, {:scope => "publish_actions,user_location,email", :client_options => {:ssl => {:ca_file => "/usr/lib/ssl/certs/ca-certificates.crt"}}}
end

似乎一个问题可能是这个证书文件实际上并不存在——我在几个地方都看到过它,而且这似乎是 Heroku 的 ca_cert 文件的默认路径,但我可能是错的。

奇怪的是,这是我已经通过 FB/Twitter 进行身份验证并尝试创建用户帐户之后发生的。为什么会这样,我该如何解决/调试这个?真诚的困惑。

更新:我将此行添加到 Omniauth 初始化程序中,现在它“工作”了。因此,我诊断出问题出在 Omniauth 上。但是,我仍然希望进行 SSL 验证……这显然会留下一个安全漏洞。

OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE

4

2 回答 2

41

经过一番搜索后,我发现:

如果您使用 Ruby 通过 https 打开与外部服务器的连接,例如。Facebook Graph API,您可能会遇到以下错误:

OpenSSL::SSL::SSLError:SSL_connectreturned=1errno=0state=SSLv3readservercertificateB:certificateverifyfailed

此错误是由于 Ruby 无法找到用于验证安全 Web 服务器真实性的证书颁发机构证书 (CA Certs)。解决方案是将此ca-bundle.crt下载到您的应用程序lib/目录中:然后将以下代码添加到config/initializers/fix_ssl.rb

require 'open-uri'
require 'net/https'

module Net
  class HTTP
    alias_method :original_use_ssl=, :use_ssl=

    def use_ssl=(flag)
      self.ca_file = Rails.root.join('lib/ca-bundle.crt').to_s
      self.verify_mode = OpenSSL::SSL::VERIFY_PEER
      self.original_use_ssl = flag
    end
  end
end

这应该会强制 ruby​​ 使用应用程序 lib/ 目录中的 CA 包。

取自:http: //jimneath.org/2011/10/19/ruby-ssl-certificate-verify-failed.html

更新:

您可能需要使用self.ca_path=而不是self.ca_file=取决于您的系统。

于 2013-06-07T11:50:31.453 回答
7

听起来您在 OmniAuth 中获得了正确的 openssl 配置,但您的 CA 证书路径可能不正确?

您可以通过运行以下命令在您的 heroku 服务器上进行检查:

heroku run bash

...然后运行 ​​openssl 以显示正确的路径:

$ openssl version -a
OpenSSL 1.0.0e 6 Sep 2011
OPENSSLDIR: "/usr/lib/ssl"

...您应该在 $OPENSSLDIR/certs/ca-certificates.crt 找到 ca_certificates.crt 文件

我会确认该路径更新您的代码以匹配。

于 2012-07-30T21:01:58.753 回答