3

我的生产应用程序使用 ActiveMerchant,并且无法使用单个网关 Moneris 通过 https 处理信用卡。所有其他网关 Authorize.net、Paypal、Beanstream 等)都不会出现错误。我收到的错误是:

OpenSSL::SSL::SSLError (SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed):

Moneris 的人告诉我,他们已将其 SSL 证书更新为 2048 位 SSL 加密(从当前的 1024 SSL 加密),并且升级后的证书将由 VeriSign 颁发。我们的通配符 SSL 使用 2432——超过 Moneris 2047 的要求。

因此,他们建议除了我通常为我的 SSL 包上传的文件之外,我还必须添加他们的 Verisign 证书。我的 Heroku 命令如下所示:

$ heroku certs:upgrade --app myapp AddTrustExternalCARoot.crt ComodoUTNSGCCA.crt EssentialSSLCA_2.crt STAR_myapp_com.crt UTNAddTrustSGCCA.crt Verisign_chain_Gr.cer Verisign_G5.cer server.key

我几乎尝试了所有方法,包括此处的 fix_ssl.rb 建议( Heroku 上的OpenSSL::SSL::SSLError),我从 Heroku 的 /usr/lib/ssl/certs 目录中调用 ca-certificates.crt。

require 'open-uri'
require 'net/https'

module Net
  class HTTP
    alias_method :original_use_ssl=, :use_ssl=
    def use_ssl=(flag)
      self.ca_path = Rails.root.join('/usr/lib/ssl/certs/ca-certificates.crt').to_s
      self.verify_mode = OpenSSL::SSL::VERIFY_PEER
      self.original_use_ssl = flag
    end
  end
end

我已经尝试了所有方法:将 Heroku 捆绑包放在我的 /lib 目录中,添加“已认证”gem 等等,然后在与 Moneris 的电话上花费数小时无济于事。有谁知道我还能做些什么来让这个网关处理信用卡?

4

1 回答 1

3

我的猜测是,openssl 用来验证 Moneris 的服务器证书的可信 CA 证书列表已经过时。因此,请尝试从 Mozilla 的 ca-bundle 中提取 cacert.pem(http://curl.haxx.se/docs/caextract.html会为您执行此操作)。如今,就 openssl 而言,这更加必要,因为 openssl 不再与 CA 证书捆绑在一起,这就是为什么我怀疑您使用的任何 ca-certs 都可能已过时。

首先,我尝试使用以下命令重现您的问题:

openssl s_client -connect www3.moneris.com:443

并得到...

新的,TLSv1/SSLv3,密码是 RC4-MD5
服务器公钥为 2048 位
支持安全重新协商
压缩:无
扩展:无
SSL-会话:
    协议:TLSv1.2
    密码:RC4-MD5
    会话 ID:73178D4019035AE86399D0E6D2FFB904A1412D0F5D3F83370E52F50E9E26B73C
    会话 ID-ctx:
    万能钥匙:0BB841912F11185B7CBAFA524571765DD7372990819EBC44E311DE4EF0C70E480501D6F87C8AA439C4F827B0908123F7
    键-Arg:无
    PSK 身份:无
    PSK 身份提示:无
    SRP 用户名:无
    开始时间:1380816775
    超时:300(秒)
    验证返回码:20(无法获取本地颁发者证书)
---

然后我使用从 Mozilla 中提取的 cacert.pem,感谢http://curl.haxx.se/docs/caextract.html 并重新发出 openssl 命令,如下所示:

openssl s_client -connect www3.moneris.com:443 -CAfile cacert.pem

并得到...

新的,TLSv1/SSLv3,密码是 RC4-MD5
服务器公钥为 2048 位
支持安全重新协商
压缩:无
扩展:无
SSL-会话:
    协议:TLSv1.2
    密码:RC4-MD5
    会话 ID:73178D401902F7EB6399D0E6D2FFB804CE0F7219344405EA0E52F50E9E26B4DB
    会话 ID-ctx:
    万能钥匙:C0B32810FB7E0158A156E7D05DBB35F3CE8935284F165C3FB636700EEEC8BCE991BCE8850D39020E298F337B6E58132A
    键-Arg:无
    PSK 身份:无
    PSK 身份提示:无
    SRP 用户名:无
    开始时间:1380816992
    超时:300(秒)
    验证返回码:0(ok)
---

因此,在上面的代码片段中,尝试替换:

self.ca_path = Rails.root.join('/usr/lib/ssl/certs/ca-certificates.crt').to_s

和:

self.ca_file = <完整路径名>/cacert.pem

其中 cacert.pem 是从 Mozilla ca-bundle 中提取的

于 2013-10-03T16:51:33.183 回答