Apa yang Subversion gunakan untuk daftar CA-nya?

2

Saya menggunakan SVN di Mac OS X. Seringkali, ketika saya checkout sesuatu dari SourceForge, saya diberikan:

$ svn checkout https://svn.code.sf.net/p/cryptopp/code/trunk/c5 cryptopp-ecies
Error validating server certificate for 'https://svn.code.sf.net:443':
 - The certificate is not issued by a trusted authority. Use the
   fingerprint to validate the certificate manually!
Certificate information:
 - Hostname: *.code.sf.net
 - Valid: from Thu, 16 Apr 2015 00:00:00 GMT until Sun, 15 May 2016 23:59:59 GMT
 - Issuer: GeoTrust Inc., US
 - Fingerprint: 1f:7b:73:d5:cf:71:18:76:d5:23:f3:07:c9:2f:f5:4a:52:67:0f:68

OpenSSL s_client menunjukkan CA paling atas adalah Otoritas Sertifikat Aman Equifax :

$ openssl s_client -connect svn.code.sf.net:443 -showcerts
...
---
Certificate chain
 0 s:/C=US/ST=New York/L=New York/O=Dice Career Solutions/OU=code.sf.net/CN=*.code.sf.net
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G3
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
 1 s:/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G3
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

Otoritas Sertifikat Aman Equifax aku s hadir di Keychain OS X:

enter image description here

Jadi saya tidak begitu yakin mengapa saya diminta oleh Subversion.

Pertanyaan : apa yang digunakan Subversion untuk daftar CA-nya?


Ini adalah versi 1.7.10 dari Apple untuk SVN (dan bukan Brew atau Macports):

$ which svn
/usr/bin/svn
$ svn --version
svn, version 1.7.10 (r1485443)
   compiled Jan 15 2014, 11:22:16

Apel man halaman untuk SVN hanya menjelaskan program dalam satu paragraf. Bahkan tidak perlu repot merinci sakelar.

jww
sumber

Jawaban:

3

Secara default svn klien tidak menggunakan sertifikat apa pun. Anda memiliki dua opsi:

1.

Unduh sertifikat CA mozilla terbaru ca-bundle.crt file dari tautan aktif laman web CURL .

Temukan file konfigurasi svn bernama servers di direktori home Anda: ~/.subversion/servers. Buat file dan .subversion folder jika tidak ada.

Tambahkan jalur ke bundel sertifikat di servers konfigurasi global bagian:

[global]
ssl-authority-files = /path/to/the/ca-bundle.crt

2.

Instal sertifikat CA untuk OpenSSL dan tambahkan baris berikut ke servers file konfigurasi dalam global bagian:

[global]
ssl-trust-default-ca = yes

Awalnya saya berpikir bahwa opsi kedua tidak berfungsi pada OS X tapi saya mengujinya dan itu benar-benar berfungsi.

baf
sumber
Terima kasih @ baf. Saya tertarik mempelajari apa yang digunakan subversi Apple untuk daftarnya, bukan cara menggantinya. Pesan Subversion adalah "Sertifikat tidak dikeluarkan oleh otoritas tepercaya" , Yang memberitahu saya punya daftar dan Otoritas Sertifikat Aman Equifax tidak ada di sana. Saya mencoba memahami mengapa.
jww
@jww Tidak menggunakan "daftar". Itu tergantung pada sertifikat openssl dan openssl tidak menginstal sertifikat apa pun secara default. Jika Anda menginstal sertifikat dan mengatur ssl-trust-default-ca = yes itu benar-benar berfungsi. Saya memperbarui jawaban saya.
baf