解决 dput 上传 Debian 包时遇到的 SSL 证书验证失败问题

问题描述

当开发者尝试使用 dput 工具将自行构建的 debian 包上传至 gitlab 的 debian 仓库时，可能会遇到 ssl 证书验证失败的错误。这种情况尤其常见于使用自签名 ssl 证书的 gitlab 实例。尽管用户可能已尝试将自签名证书添加到系统信任的 ca 存储中（例如 /usr/local/share/ca-certificates 并运行 update-ca-certificates），但 dput 仍可能报告 urlopen error [ssl: certificate_verify_failed] certificate verify failed: unable to get local issuer certificate 错误。

以下是一个典型的 dput 配置和执行过程及其错误输出：

首先，配置 dput.cf 文件以指定 GitLab 仓库信息。请将 、word>、gitlab.mydomain.com 和 替换为您的实际信息：

cat < dput.cf
[gitlab]
method = https
fqdn = :@gitlab.mydomain.com
incoming = /api/v4/projects//packages/debian
EOF

接着，尝试使用 dput 命令上传包。请将 替换为您的包名：

dput --config=dput.cf --unchecked --no-upload-log gitlab _1.0.1_amd64.changes

此时，控制台可能会输出以下错误信息：

Uploading  using https to gitlab (host: :@gitlab.mydomain.com; directory: /api/v4/projects//packages/debian)
running allowed-distribution: check whether a local profile permits uploads to the target distribution
running checksum: verify checksums before uploading
running suite-mismatch: check the target distribution for common errors
running gpg: check GnuPG signatures before the upload
Not checking GPG signature due to allow_unsigned_uploads being set.
Not writing upload log upon request
Uploading _1.0.1.dsc

这个错误表明 dput 在尝试建立 HTTPS 连接时，无法验证 GitLab 服务器提供的 SSL 证书。这通常是由于 dput 底层所使用的 Python SSL 上下文未能正确信任自签名证书，即使系统级别的 CA 存储已经更新。

解决方案：临时禁用 dput 的 SSL 验证

鉴于 dput 工具底层通常使用 Python 的 urllib 模块进行网络通信，其 SSL 验证机制可能独立于系统级的 CA 存储。一个有效的临时解决方案是直接修改 dput 的 Python 脚本，在运行时禁用其 SSL 证书验证。

警告：此操作会降低连接的安全性，因为它允许 dput 在不验证服务器身份的情况下进行通信。仅在您完全信任目标服务器且了解潜在风险的情况下使用此方法。

通过以下 sed 命令，可以在 dput 脚本中注入 Python 代码，强制其使用一个不进行证书验证的 SSL 上下文：

Audo Studio

AI音频清洗工具（噪音消除、声音平衡、音量调节）

下载

sudo sed -i '24s/^/import ssl\nssl._create_default_https_context = ssl._create_unverified_context\n/' /usr/bin/dput

命令解释：

• sudo: 因为 /usr/bin/dput 是系统文件，需要管理员权限进行修改。
• sed -i: 就地编辑文件。
• '24s/^/...': 在文件的第24行开头插入指定的字符串。这里插入的字符串是两行 Python 代码：
  • import ssl: 导入 Python 的 ssl 模块。
  • ssl._create_default_https_context = ssl._create_unverified_context: 这行代码是关键，它将默认的 HTTPS 上下文创建函数替换为 ssl 模块中一个不执行证书验证的上下文创建函数。

操作步骤

1. 配置 dput.cf 文件：按照上述“问题描述”中的示例，创建或更新您的 dput.cf 文件，确保 fqdn 和 incoming 配置正确指向您的 GitLab Debian 仓库。

2. 尝试上传并确认错误：执行 dput 命令进行上传，确认您遇到了 SSL: CERTIFICATE_VERIFY_FAILED 错误。

3. 应用 SSL 验证禁用补丁：在终端中执行提供的 sed 命令。

   sudo sed -i '24s/^/import ssl\nssl._create_default_https_context = ssl._create_unverified_context\n/' /usr/bin/dput

4. 重新执行 dput 命令：再次尝试上传您的 Debian 包。此时，dput 应该能够成功连接并上传文件，不再报告 SSL 证书验证错误。

注意事项

• 安全性风险：禁用 SSL 证书验证会使您的连接容易受到中间人攻击。攻击者可能伪装成您的 GitLab 服务器，窃取您的认证信息或篡改上传内容。请务必在安全可控的环境下使用此方法，并考虑其潜在风险。
• 临时性方案：此方法应被视为一个临时性的绕过方案。长期来看，更推荐的解决方案是确保您的 GitLab 服务器使用由受信任的证书颁发机构（CA）签发的有效 SSL 证书，或者正确配置 dput（或其底层 Python 环境）以信任您的自签名证书。
• dput 版本兼容性：sed 命令依赖于 dput 脚本的特定结构（例如第24行）。未来 dput 版本更新可能会改变脚本结构，导致此 sed 命令失效或产生意外行为。在更新 dput 后，可能需要重新评估此解决方案。
• 撤销修改：如果您需要恢复 dput 的原始行为（即重新启用 SSL 验证），您需要手动编辑 /usr/bin/dput 文件，删除之前插入的两行 Python 代码：import ssl 和 ssl._create_default_https_context = ssl._create_unverified_context。

总结

当 dput 在上传 Debian 包到使用自签名证书的 GitLab 仓库时遇到 SSL 证书验证失败，通过修改 /usr/bin/dput 脚本并注入 Python 代码以禁用默认的 SSL 验证上下文，可以作为一种快速有效的临时解决方案。然而，务必牢记此操作带来的安全风险，并尽可能寻求更安全的长期解决方案，例如使用受信任的 SSL 证书或正确配置证书信任链。