Как избавиться от ошибки сертификата?

Question

[anton13ms]

Пытаюсь настроить на сервере GitLab работу с SSL, но что-то плохо получается. Может быть вам удастся найти ошибку?
С помощью OpenSSL, я создал файл ключей на сервере GitLab:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout gitlab.key -out gitlab.crt

Разместил их в каталоге:

/etc/gitlab/ssl

Прописал в файле:

/etc/gitlab/gitlab.rb

Строки:

#nginx['ssl_certificate'] = "/etc/gitlab/ssl/gitlab.crt"
#nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/gitlab.key"

Выполнил команду:
gitlab-ctl reconfigure

На клиенте, файл .crt копировал в каталог:
/etc/ssl/certs

Выполнил команду:

git config --global http.sslCAInfo /etc/ssl/certs/gitlab.crt

При выполнении команды на клиенте:
git clone https://ip-сервера/nameuser/nameproject
Возникает ошибка:

недоступно: SSL certificate problem: self signed certificate

Пробовал, на сервере GitLab, в файле /etc/gitlab/gitlab.rb добавлять строки:

nginx['ssl_certificate'] = "/etc/gitlab/ssl/gitlab.crt"
nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/gitlab.key"

Comments

[anton13ms]

Забыл указать, что после добавления сертификата на клиент, выполнил команду:
sudo update-ca-trust

[pfg21]

необходимо на клиенте добавить свои сертификаты в доверенные.
при этом нужно к "обычному" сертификату, сделать самоподписанный сертификат УЦ, которым подписать "обычный".
т.е. сертификат должен быть не один, а должна быть цепочка доверия.

[anton13ms]

pfg21,
Не особо мне это удается:
Для решения проблемы отсутствия DNS-сервера:
На клиенте в файле hosts прпоисал:

192.168.1.100 gitlab.local

на сервере:

127.0.0.1 gitlab.local

# Создание самоподписного сертификата с псевдоцентром сертификации: 
#### Создание CA-сертификата на сервере GitLab:

1. Создал закрытый ключ (ca.key):
openssl genrsa -out ca.key 2048
2. Создал самоподписанный сертификат (ca.crt):

openssl req -new -x509 -days 365 -key ca.key -out ca.crt

  
#### Подписание сертификата для GitLab с использованием CA-сертификата:
3. Создал закрытый ключ (gitlab.local.key) на сервере GitLab:
openssl genrsa -out gitlab.local.key 2048

4. Создал запрос на подписание сертификата (gitlab.local.csr) с использованием созданного закрытого ключа:

openssl req -new -key gitlab.local.key -out gitlab.local.csr

5. Подписал запрос на сертификат с использованием CA-сертификата и ключа центра:

openssl x509 -req -in gitlab.local.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out gitlab.local.crt -days 365

   
#### Применение SSL-сертификата для сервера GitLab:
1. Разместил файлы ключей  (gitlab.local.key) и сертификата (gitlab.local.crt) 
на сервере GitLab, в директории: 

/etc/gitlab/ssl

Выполнил команду:
update-ca-certificates
2. В файле /etc/gitlab/gitlab.rb)прописал следующее:

external_url 'https://gitlab.local'
nginx['redirect_http_to_https'] = true
nginx['ssl_certificate'] = "/etc/gitlab/ssl/gitlab.local.crt"
nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/gitlab.local.key"

3. Выполнил команду: 
gitlab-ctl reconfigure

#### Распространение CA-сертификата среди клиентов:
1. Копировал файлы:
gitlab.local.key и gitlab.local.crt
на клиентскую машину в директорию:

/etc/ssl/certs

2. Установил права доступа 600 (только для чтения и записи для владельца)
Выполнил команду:
update-ca-trust

3. Указал Git использовать эти файлы ключей:

git config --global http.sslKey /etc/ssl/certs/gitlab.local.key
git config --global http.sslCert /etc/ssl/certs/gitlab.local.crt

4. На клиентской машине установил самоподписанный сертификат как доверенный:

cp /etc/ssl/certs/gitlab.local.crt /etc/pki/ca-trust/source/anchors/
update-ca-trust

​
5. Попробовал выполнить клонирование проекта на клиенте, возникла ошибка:

fatal: «https://gitlab.local/anton/half.git/» недоступно: SSL certificate problem: self signed certificate

В чем моя ошибка? 

Answer 1

[anton13ms]

В итоге изменил сервер на GitFlic и импортировал проекты.

Answer 2

[d-stream]

В приведённом варианте openssl создаёт самоподписанный сертификат. На что и будут регулярные жалобы.
Прямой вариант - выпустить нормальный сертификат например на letsencrypt с цепочкой удостоверяющих центров и т.п.
Ну или как минимум имитировать подобное создав свой псевдоудостоверяющий центр:
ca сертификат и им подписать серт для гитлаба, но тогда придётся ca прописывать всем клиентам как trusted ca

Comments

[anton13ms]

letsencrypt не могу воспользоваться, так как сервер не имеет подключения к интернету.

По поводу создания своего псевдоудостоверяющего центра, не особо у меня получилось( Написал подробнее об этом в комментарии к вопросу, если будет желание, прочитайте пожалуйста.

[d-stream]

Надо немного помучить поисковик на тему "свой ca openssl" и в первой же пятёрке вывода будет от теории с примерами до сухого материала под copy-paste без включения мозга - так что можно выбрать себе по вкусу.

letsencrypt можно при желании даже подписать localhost )

Answer 3

[ky0]

sudo update-ca-certificates -f

Comments

[anton13ms]

В моем случае это команда:
update-ca-trust
Не помогло(