SSL_connect zwróciło = 1 errno = 0 stan = SSLv3 odczytać certyfikat serwera B: weryfikacja certyfikatu nie powiodła się

Używam Authlogic-Connect do logowania osób trzecich. Po uruchomieniu odpowiednich migracji logowanie na Twitterze / Google / yahoo wydaje się działać dobrze, ale logowanie do Facebooka powoduje wyjątek:

SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed

Dziennik deweloperski pokazuje

OpenSSL::SSL::SSLError (SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed):
  app/controllers/users_controller.rb:37:in `update'

Proszę zasugeruj..

Wystąpił podobny problem podczas próby użycia generatora JQuery dla Rails 3

Rozwiązałem to w ten sposób:

1. Uzyskaj pakiet CURL Certificate Authority (CA). Możesz to zrobić za pomocą:

   • sudo port install curl-ca-bundle [jeśli używasz MacPorts]
   • lub po prostu pociągnij go bezpośrednio w dół wget http://curl.haxx.se/ca/cacert.pem

2. Wykonać kod Ruby próbuje zweryfikować certyfikat SSL: SSL_CERT_FILE=/opt/local/etc/certs/cacert.pem rails generate jquery:install. W twoim przypadku, chcesz ustawić to jako zmienną środowiskową gdzieś, gdzie serwer ją odbiera, lub dodać coś takiego jak ENV['SSL_CERT_FILE'] = /path/to/your/new/cacert.pemw pliku environment.rb.

Można też po prostu zainstalować pliki Ca (nie próbowałem tego) do systemu operacyjnego - nie są długie instrukcje tutaj - to powinno działać w podobny sposób, ale nie próbowałem tego osobiście.

Zasadniczo problem polega na tym, że niektóre usługi internetowe odpowiadają certyfikatem podpisanym wobec urzędu certyfikacji, którego OpenSSL nie może zweryfikować.

Jeśli używasz RVM na OS X, prawdopodobnie musisz uruchomić to:

rvm osx-ssl-certs update all

Więcej informacji tutaj: http://rvm.io/support/fixing-broken-ssl-certificates

A oto pełne wyjaśnienie: https://github.com/wayneeseguin/rvm/blob/master/help/osx-ssl-certs.md

Aktualizacja

W Ruby 2.2 może być konieczna ponowna instalacja Ruby ze źródła, aby to naprawić. Oto jak (zastąp 2.2.3swoją wersją Ruby):

rvm reinstall 2.2.3 --disable-binary

Podziękowania dla https://stackoverflow.com/a/32363597/4353 i Iana Connora .

Oto, jak możesz to naprawić w systemie Windows: https://gist.github.com/867550 (stworzony przez Fletcher Nichol)

Fragment:

The Manual Way (Nudny)

Pobierz cacert.pemplik z http://curl.haxx.se/ca/cacert.pem . Zapisz ten plik w C:\RailsInstaller\cacert.pem.

Teraz powiadom Ruby o pakiecie urzędu certyfikacji, ustawiając SSL_CERT_FILE. Aby ustawić to w bieżącej sesji wiersza polecenia, wpisz:

set SSL_CERT_FILE=C:\RailsInstaller\cacert.pem

Aby ustawić to na stałe, dodaj to w panelu sterowania .

Ruby nie może znaleźć żadnych certyfikatów głównych, którym można zaufać.

Spójrz na ten post na blogu, aby znaleźć rozwiązanie: „ Ruby 1.9 i błąd SSL ”.

Rozwiązaniem jest zainstalowanie curl-ca-bundleportu zawierającego te same certyfikaty główne, których używa Firefox:

sudo port install curl-ca-bundle

i powiedz httpsobiektowi, aby go używał:

https.ca_file = '/opt/local/share/curl/curl-ca-bundle.crt'

Pamiętaj, że jeśli chcesz, aby kod działał na Ubuntu, musisz ca_pathzamiast tego ustawić atrybut z domyślną lokalizacją certyfikatów /etc/ssl/certs.

Przyczyną tego błędu w OSX jest ruby ​​zainstalowany w rvm.

Jeśli napotkasz ten problem w OSX, możesz znaleźć naprawdę szerokie wyjaśnienie tego w tym poście na blogu:

http://toadle.me/2015/04/16/fixing-failing-ssl-verification-with-rvm.html

Krótka wersja jest taka, że ​​w przypadku niektórych wersji Ruby RVM pobiera wstępnie skompilowane pliki binarne, które szukają certyfikatów w niewłaściwej lokalizacji. Wymuszając na RVM pobranie źródła i kompilację na własnym komputerze, upewniasz się, że konfiguracja lokalizacji certyfikatu jest poprawna.

Polecenie to:

rvm install 2.2.0 --disable-binary

jeśli masz już wersję, o której mowa, możesz ją ponownie zainstalować za pomocą:

rvm reinstall 2.2.0 --disable-binary

(oczywiście, w razie potrzeby zamień swoją wersję ruby).

Problem polega na tym, że Ruby nie może znaleźć certyfikatu głównego, któremu można zaufać. Od wersji 1.9 ruby ​​to sprawdza. Musisz upewnić się, że masz certyfikat curl w systemie w postaci pliku pem. Musisz także upewnić się, że certyfikat znajduje się w miejscu, w którym Ruby się spodziewa. Możesz uzyskać ten certyfikat na ...

http://curl.haxx.se/ca/cacert.pem

Jeśli jesteś użytkownikiem RVM i OSX, lokalizacja pliku certyfikatu będzie się różnić w zależności od używanej wersji ruby. Wyraźne ustawienie ścieżki za pomocą: ca_path jest ZŁYM pomysłem, ponieważ twój kod nie będzie przenośny, gdy przejdzie do produkcji. Tam chcesz dostarczyć Rubinowi certyfikat w domyślnej lokalizacji (i załóż, że twoi deweloperzy wiedzą, co robią). Możesz użyć narzędzia dtruss, aby dowiedzieć się, gdzie system szuka pliku certyfikatu.

W moim przypadku system szukał pliku cert w

/Users/stewart.matheson/.rvm/usr/ssl/cert.pem

jednak system MACOSX oczekuje certyfikatu

/System/Library/OpenSSL/cert.pem

Skopiowałem pobrany certyfikat na tę ścieżkę i zadziałało. HTH

Nowy certyfikowany klejnot został zaprojektowany, aby to naprawić:

https://github.com/stevegraham/certified

Wystarczy dodać „certyfikowany” klejnot do pliku gem i uruchomić instalację pakietu.

1. klejnot „ certyfikowany ”
2. instalacja pakietu

W systemie Mac OS X Lion z najnowszym Macport:

sudo port install curl-ca-bundle  
export SSL_CERT_FILE=/opt/local/share/curl/curl-ca-bundle.crt  

Następnie ponownie uruchom nieudane zadanie.

Uwaga: wydaje się, że lokalizacja pliku cert zmieniła się od czasu, gdy Eric G odpowiedział 12 maja.

Jeden linijka naprawia go dla systemu Windows w monicie administratora

choco install wget(najpierw zobacz chocolatey.org )

wget http://curl.haxx.se/ca/cacert.pem -O C:\cacert.pem && setx /M SSL_CERT_FILE "C:\cacert.pem"

Lub po prostu zrób to:

gem sources -r https://rubygems.org/
gem sources -a http://rubygems.org/

Metoda Milanio:

gem sources -r https://rubygems.org
gem sources -a http://rubygems.org 
gem update --system
gem sources -r http://rubygems.org
gem sources -a https://rubygems.org

gem install [NAME_OF_GEM]

Cóż, to zadziałało dla mnie

rvm pkg install openssl
rvm reinstall 1.9.2 --with-openssl-dir=$rvm_path/usr

Coś jest nie tak z implementacją openssl mojego Ubuntu 12.04

Wiedząc, że jest to raczej kiepskie rozwiązanie, nadal się tym dzielę, ponieważ wygląda na to, że bardzo niewiele osób odpowiadających tutaj używa systemu Windows i myślę, że niektórzy użytkownicy systemu Windows (włącznie ze mną) doceniliby proste i intuicyjne podejście.

require 'openssl'
puts OpenSSL::X509::DEFAULT_CERT_FILE

To mówi, gdzie twój openssl szuka pliku cert. Nie nazywam się Luis, ale moje było C:/Users/Luis/Code/luislavena/knap-build/var/knapsack/software/x86-windows/openssl/1.0.0l/ssl/cert.pem. Ścieżka może być różna w zależności od każdego środowiska (np. openknapsackZamiast luislavena).

Ścieżka nie zmieniła się nawet po set SSL_CERT_FILE=C:\foo\bar\baz\cert.pemkonsoli, więc ... Utworzyłem katalog C:\Users\Luis\Code\luislavena\knap-build\var\knapsack\software\x86-windows\openssl\1.0.0l\ssl na dysku lokalnym i umieściłem w nim plik cert.

Jakkolwiek kulawe, to na pewno zadziała.

Próbuję zainstalować za curl-ca-bundlepomocą brew, ale pakiet nie jest już dostępny:

$ brew install curl-ca-bundle
Error: No available formula for curl-ca-bundle 
Searching formulae...
Searching taps...

Rozwiązaniem, które zadziałało na Macu było:

 $ cd /usr/local/etc/openssl/certs/
 $ sudo curl -O http://curl.haxx.se/ca/cacert.pem

Dodaj ten wiersz w swoim ~/.bash_profile(lub ~/.zshrcdla zsh):

export SSL_CERT_FILE=/usr/local/etc/openssl/certs/cacert.pem

Następnie zaktualizuj terminal:

$ source ~/.bash_profile

Oto kolejna opcja do celów debugowania.

Pamiętaj, aby nigdy nie używać tego w żadnym środowisku produkcyjnym, ponieważ spowoduje to negację korzyści wynikających z używania SSL. Jest to zawsze uzasadnione tylko w lokalnym środowisku programistycznym.

require 'openssl'
OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE

Miałem ten sam problem podczas pracy nad projektem Ruby. Używam Windows 7 64bit.

Rozwiązałem to przez:

1. Pobieranie pliku cacert.pem z http://curl.haxx.se/ca/cacert.pem .
2. Zapisałem ten plik w Zapisałem C: /RubyCertificates/cacert.pem
3. Następnie ustaw moją zmienną środowiskową „SSL_CERT_FILE” na „C: \ RubyCertificates \ cacert.pem”

źródło: https://gist.github.com/fnichol/867550

Najprostsza odpowiedź, która działała dla mnie, była następująca

sudo apt-get install openssl ca-certificates

I voila !!!

OS X 10.8.x z Homebrew:

brew install curl-ca-bundle
brew list curl-ca-bundle
cp /usr/local/Cellar/curl-ca-bundle/1.87/share/ca-bundle.crt /usr/local/etc/openssl/cert.pem

Następnie, jak sugeruje ten post na blogu,

„ Jak leczyć Net :: ryzykowne domyślne zachowanie HTTPS HTTP ”

możesz zainstalować always_verify_ssl_certificatesklejnot, który pozwala ustawić wartość domyślną dla ca_file.

To zadziałało dla mnie. Jeśli używasz RVM i Brew:

rvm remove 1.9.3
brew install openssl
rvm install 1.9.3 --with-openssl-dir=`brew --prefix openssl`

Natknąłem się na ten problem i sugerowana poprawka rvm osx-ssl-certs update allnie zadziałała, mimo że jestem użytkownikiem RVM na OSX.

Dla mnie poprawką było ponowne zainstalowanie najnowszej wersji openssl:

brew update
brew remove openssl
brew install openssl

Rozwiązałem ten problem, uruchamiając go w terminalu. Pełny opis jest dostępny tutaj

rvm install 2.2.0 --disable-binary

Rozwiązanie OSX:

zainstaluj najnowszą stabilną wersję rvm

rvm get stable

użyj komendy rvm, aby automatycznie rozwiązać certyfikaty

rvm osx-ssl-certs update all

Jeśli używasz aplikacji Railsowej lokalnie, po prostu dodaj ten wiersz na dole application.rb.

OpenSSL::SSL::VERIFY_PEER = OpenSSL::SSL::VERIFY_NONE

Następnie możesz korzystać z aplikacji bez żadnych problemów. Możesz nazwać to hackem, ale nie jest to zalecane. Używaj tylko wtedy, gdy potrzebujesz uruchomić lokalnie

Oto, co zrobiłem, co pomogło, jeśli masz konkretny problem z Leopardem.

Mój certyfikat był stary i wymagał aktualizacji. Pobrałem to:

http://curl.haxx.se/ca/cacert.pem

Następnie zastąpiłem mój certyfikat, który został tutaj znaleziony na Leopardzie:

/usr/share/curl/curl-ca-bundle.crt

Załaduj ponownie wszystko, co masz do niego dostęp, i powinieneś już iść!

Tylko dlatego, że instrukcje były nieco inne dla tego, co działało dla mnie, pomyślałem, że dodam moje 2 centy:

Jestem na OS X Lion i używam Macports i RVM

Zainstalowałem pakiet curl-ca:

sudo port install curl-ca-bundle

Następnie dostosowałem konfigurację omniauth do tego:

Rails.application.config.middleware.use OmniAuth::Builder do
  provider :google_oauth2, APP_CONFIG['CONSUMER_KEY'], APP_CONFIG['CONSUMER_SECRET'],
           :scope => 'https://www.google.com/m8/feeds https://www.googleapis.com/auth/userinfo.profile',
           :ssl => {:ca_path => "/share/curl/curl-ca-bundle.crt"}
end

Jeśli masz dowiązanie symboliczne w / usr / local / etc / openssl wskazujące na cert.pem, spróbuj to zrobić:

ruby -ropenssl -e "p OpenSSL::X509::DEFAULT_CERT_FILE" (should be /usr/local/etc/openssl)
cd /usr/local/etc/openssl
wget http://curl.haxx.se/ca/cacert.pem
ln -s cacert.pem 77ee3751.0 (77ee3751.0 is my symbolic link, should depend on the openssl version)

Dla mnie zadziałała kombinacja odpowiedzi, a mianowicie:

# Reinstall OpenSSL
brew update
brew remove openssl
brew install openssl
# Download CURL CA bundle
cd /usr/local/etc/openssl/certs
wget http://curl.haxx.se/ca/cacert.pem
/usr/local/opt/openssl/bin/c_rehash
# Reinstall Ruby from source
rvm reinstall 2.2.3 --disable-binary

Miałem kłopoty przez kilka dni i rąbałem wokół. Ten link okazał się dla mnie niezwykle pomocny. Pomogło mi to w udanej aktualizacji SSL na MAC OS X 9.

Czasami nie zawsze jest to problem rvm w MAC OSX, jeśli usuniesz .rvm, problem nadal (szczególnie podczas tworzenia kopii zapasowej danych z timemachine), możesz spróbować w ten sposób.

1.brew update
2.brew install openssl

Dodanie gem 'certified', '~> 1.0'do mnie Gemfilei uruchomienie bundlerozwiązało dla mnie ten problem.