问题描述
当开发者尝试使用 dput 工具将自行构建的 debian 包上传至 gitlab 的 debian 仓库时,可能会遇到 ssl 证书验证失败的错误。这种情况尤其常见于使用自签名 ssl 证书的 gitlab 实例。尽管用户可能已尝试将自签名证书添加到系统信任的 ca 存储中(例如 /usr/local/share/ca-certificates 并运行 update-ca-certificates),但 dput 仍可能报告 urlopen error [ssl: certificate_verify_failed] certificate verify failed: unable to get local issuer certificate 错误。
以下是一个典型的 dput 配置和执行过程及其错误输出:
首先,配置 dput.cf 文件以指定 GitLab 仓库信息。请将 <your_login>、<your_password>、gitlab.mydomain.com 和 <project_id> 替换为您的实际信息:
cat <<EOF > dput.cf [gitlab] method = https fqdn = <your_login>:<your_password>@gitlab.mydomain.com incoming = /api/v4/projects/<project_id>/packages/debian EOF
接着,尝试使用 dput 命令上传包。请将 <my_package_name> 替换为您的包名:
dput --config=dput.cf --unchecked --no-upload-log gitlab <my_package_name>_1.0.1_amd64.changes
此时,控制台可能会输出以下错误信息:
Uploading <my_package_name> using https to gitlab (host: <your_login>:<your_password>@gitlab.mydomain.com; directory: /api/v4/projects/<project_id>/packages/debian) running allowed-distribution: check whether a local profile permits uploads to the target distribution running checksum: verify checksums before uploading running suite-mismatch: check the target distribution for common errors running gpg: check GnuPG signatures before the upload Not checking GPG signature due to allow_unsigned_uploads being set. Not writing upload log upon request Uploading <my_package_name>_1.0.1.dsc <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1007)>
这个错误表明 dput 在尝试建立 HTTPS 连接时,无法验证 GitLab 服务器提供的 SSL 证书。这通常是由于 dput 底层所使用的 Python SSL 上下文未能正确信任自签名证书,即使系统级别的 CA 存储已经更新。
解决方案:临时禁用 dput 的 SSL 验证
鉴于 dput 工具底层通常使用 Python 的 urllib 模块进行网络通信,其 SSL 验证机制可能独立于系统级的 CA 存储。一个有效的临时解决方案是直接修改 dput 的 Python 脚本,在运行时禁用其 SSL 证书验证。
警告:此操作会降低连接的安全性,因为它允许 dput 在不验证服务器身份的情况下进行通信。仅在您完全信任目标服务器且了解潜在风险的情况下使用此方法。
通过以下 sed 命令,可以在 dput 脚本中注入 Python 代码,强制其使用一个不进行证书验证的 SSL 上下文:
sudo sed -i '24s/^/import ssl\nssl._create_default_https_context = ssl._create_unverified_context\n/' /usr/bin/dput
命令解释:
- sudo: 因为 /usr/bin/dput 是系统文件,需要管理员权限进行修改。
- sed -i: 就地编辑文件。
- '24s/^/...': 在文件的第24行开头插入指定的字符串。这里插入的字符串是两行 Python 代码:
- import ssl: 导入 Python 的 ssl 模块。
- ssl._create_default_https_context = ssl._create_unverified_context: 这行代码是关键,它将默认的 HTTPS 上下文创建函数替换为 ssl 模块中一个不执行证书验证的上下文创建函数。
操作步骤
配置 dput.cf 文件:按照上述“问题描述”中的示例,创建或更新您的 dput.cf 文件,确保 fqdn 和 incoming 配置正确指向您的 GitLab Debian 仓库。
尝试上传并确认错误:执行 dput 命令进行上传,确认您遇到了 SSL: CERTIFICATE_VERIFY_FAILED 错误。
-
应用 SSL 验证禁用补丁:在终端中执行提供的 sed 命令。
sudo sed -i '24s/^/import ssl\nssl._create_default_https_context = ssl._create_unverified_context\n/' /usr/bin/dput
重新执行 dput 命令:再次尝试上传您的 Debian 包。此时,dput 应该能够成功连接并上传文件,不再报告 SSL 证书验证错误。
注意事项
- 安全性风险:禁用 SSL 证书验证会使您的连接容易受到中间人攻击。攻击者可能伪装成您的 GitLab 服务器,窃取您的认证信息或篡改上传内容。请务必在安全可控的环境下使用此方法,并考虑其潜在风险。
- 临时性方案:此方法应被视为一个临时性的绕过方案。长期来看,更推荐的解决方案是确保您的 GitLab 服务器使用由受信任的证书颁发机构(CA)签发的有效 SSL 证书,或者正确配置 dput(或其底层 Python 环境)以信任您的自签名证书。
- dput 版本兼容性:sed 命令依赖于 dput 脚本的特定结构(例如第24行)。未来 dput 版本更新可能会改变脚本结构,导致此 sed 命令失效或产生意外行为。在更新 dput 后,可能需要重新评估此解决方案。
- 撤销修改:如果您需要恢复 dput 的原始行为(即重新启用 SSL 验证),您需要手动编辑 /usr/bin/dput 文件,删除之前插入的两行 Python 代码:import ssl 和 ssl._create_default_https_context = ssl._create_unverified_context。
总结
当 dput 在上传 Debian 包到使用自签名证书的 GitLab 仓库时遇到 SSL 证书验证失败,通过修改 /usr/bin/dput 脚本并注入 Python 代码以禁用默认的 SSL 验证上下文,可以作为一种快速有效的临时解决方案。然而,务必牢记此操作带来的安全风险,并尽可能寻求更安全的长期解决方案,例如使用受信任的 SSL 证书或正确配置证书信任链。
