4

我需要在公司代理后面进行 curl 上传。根据我尝试的网站,我遇到了以下两种类型的问题,

  • curl:(35)错误:1408F10B:SSL例程:ssl3_get_record:错误的版本号
  • curl:(60)SSL证书问题:无法获取本地颁发者证书

以下是详细信息:

情况1:

. . . 
< HTTP/1.1 200 Connection established
< Proxy-agent: CCProxy
< 
* Proxy replied 200 to CONNECT request
* CONNECT phase completed!
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* CONNECT phase completed!
* CONNECT phase completed!
* error:1408F10B:SSL routines:ssl3_get_record:wrong version number
* Closing connection 0
curl: (35) error:1408F10B:SSL routines:ssl3_get_record:wrong version number

案例二:

$ curl -vX POST -d "userId=5&title=Hello World&body=Post body." https://jsonplaceholder.typicode.com/posts
Note: Unnecessary use of -X or --request, POST is already inferred.
* Uses proxy env variable https_proxy == 'http://10.xx.xx.xx:808/'
*   Trying 10.xx.xx.xx:808...
* TCP_NODELAY set
* Connected to 10.xx.xx.xx port 808 (#0)
* allocate connect buffer!
* Establish HTTP proxy tunnel to jsonplaceholder.typicode.com:443
> CONNECT jsonplaceholder.typicode.com:443 HTTP/1.1
> Host: jsonplaceholder.typicode.com:443
> User-Agent: curl/7.68.0
> Proxy-Connection: Keep-Alive
> 
< HTTP/1.1 200 Connection established
< Proxy-agent: CCProxy
< 
* Proxy replied 200 to CONNECT request
* CONNECT phase completed!
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* CONNECT phase completed!
* CONNECT phase completed!
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, unknown CA (560):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.haxx.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

问题不是上面的 CCProxy,而是我们公司使用的是 Zscaler 透明代理,它使用自己的证书拦截 SSL 请求。

请问有什么办法可以解决吗?

$ curl --version
curl 7.68.0 (x86_64-pc-linux-gnu) libcurl/7.68.0 OpenSSL/1.1.1g zlib/1.2.11 brotli/1.0.7 libidn2/2.3.0 libpsl/0.21.0 (+libidn2/2.3.0) libssh2/1.8.0 nghttp2/1.40.0 librtmp/2.3
Release-Date: 2020-01-08

$ lsb_release -a 
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux bullseye/sid
Release:        testing
Codename:       bullseye
4

3 回答 3

1

感谢Daniel Stenberg 的回答,答案是“将该代理的证书添加到 CA 包中”。然后我想我应该填写其余部分。所以这是我尝试解决剩下的问题/问题 -

  • 问:获得 Zscaler 证书的最简单方法是什么?
    答:从这里

转到策略 > SSL 检查。在 SSL 拦截的中间根证书颁发机构部分,单击下载Zscaler证书。导航到 ZscalerRootCerts。zip 文件并将其解压缩。

  • 您可以curl --cacert <CA certificate>用来提供您公司的 CA 证书。
  • 或者,您可以将您的公司 CA 证书添加到/etc/pki/tls/certs/并在make那里运行以使其在系统范围内可用。
于 2020-07-31T23:52:58.580 回答
1

两个选项中的第 1 步都将提取 Zscaler 证书。

选项 1 直接卷曲

  1. 下载证书(所有证书都包含在一个文件中)
  2. 执行curl传递您要使用的证书的命令。
# 1
openssl s_client -showcerts \
-connect jsonplaceholder.typicode.com:443 </dev/null 2>/dev/null \
| sed -n '/-----BEGIN CERTIFICATE-----/,/-----END CERTIFICATE-----/p'  > typicode.crt
# 2
curl --cacert typicode.crt -v \
-d "userId=5&title=Hello World&body=Post body." \
 https://jsonplaceholder.typicode.com/posts

选项 2(安装程序脚本)

如果该curl命令由您无法控制的安装程序执行,则更新您的证书:

  1. 从服务器提取证书(使用 FQDN 或 IP 和 PORT,即jsonplaceholder.typicode.com:443:)
  2. 将 XXX.crt 证书移动到您的证书目录
  3. 更新证书
  4. 执行安装脚本
# 1
openssl s_client -showcerts \
-connect jsonplaceholder.typicode.com:443 </dev/null 2>/dev/null \
| sed -n '/-----BEGIN CERTIFICATE-----/,/-----END CERTIFICATE-----/p'  > typicode.crt
# 2
sudo mv typicode.crt /usr/local/share/ca-certificates/
# 3
sudo update-ca-certificates
# 4 execute your installer script

奖金

如果您只需要/想要获取 Zscaler 证书,请从以下网址获取 IP:https ://ip.zscaler.com

openssl s_client -showcerts -servername server -connect 165.225.216.33:443 >  </dev/null 2>/dev/null | sed -n '/-----BEGIN CERTIFICATE-----/,/-----END CERTIFICATE-----/p' | grep -m1 -B-1 -- '-----END CERTIFICATE-----'  > zscaler.crt

更新(21 年 11 月 19 日):

  • 添加选项 1,什么时候直接curl不需要安装证书。
  • 优化了提取证书的命令(创建文件)
  • 奖励:获得 Zscaler IP

在 Zscaler 代理后面的 Ubuntu 20 和 18 上测试。

无证书

无证书

有证书

有证书

参考:

于 2021-11-17T20:43:36.977 回答
0

此错误 ( SSL certificate problem) 表示 curl 用于验证服务器对等方的 CA 存储不包含证书,因此无法验证服务器。

如果希望 curl 使用终止 TLS 的透明代理,您必须将该代理的证书添加到 CA 捆绑包中或完全忽略证书检查(我建议不要这样做)。

TLS 的透明代理当然会使连接完全不可靠,并且会破坏安全属性。

于 2020-07-31T18:22:20.197 回答