水银Mecurial文档翻译：认证机构证书,CA Certificates

此文档说明的是，水银 Mercurial 是如何处理 https 网址相关的SSL 证书的。

1. 水银1.7.x中的变更

水银自从1.7.x 系列开始就提升了对于HTTPS 的支持。当连接一个HTTPS服务器的时候，它会正确地验证该服务器的证书，并且在该服务器的身份得不到确认的情况下拒绝该连接——不过，前提条件是，已经配置了认证机构（Certification Authorities (CAs)）。自从1.7.3版本开始，如果未配置认证机构，水银会发出警告。

新的 "certificate not verified"警告 并不是说妳现在的安全性比以前差。它的意思只是说， 一直以来，妳的安全性都是狠差的。

妳应当修复妳的配置，消除警告，以使得妳的工作过程中得到对于SSL 所预期的安全性；否则的话，还不如不要使用HTTPS。

2. HTTPS认证机构的配置

大部分的操作系统都维护了一组根证书，妳可能会相信它们。注意，其中的任何证书都能够用来证明任何服务器的身份，因而，其中的任何证书也能够用来伪造任何服务器的身份。

向妳的 配置文件 (例如，Unix 系统中就是 /etc/mercurial/hgrc ) 加入以下代码。

2.2. Fedora/RHEL

在Fedora和RHEL系统中，可使用这个全局配置：

[web]

cacerts = /etc/pki/tls/certs/ca-bundle.crt

2.7. 其它平台

如果 妳的平台未提供一个可用的证书列表 ，那么，妳可以从 http://curl.haxx.se/docs/caextract.html 或者别的某个可信来源下载一个证书文件。

2.8. 其它认证机构

如果 妳想要信任其它的认证机构，那么，妳必须确保它们的根证书被加入到了妳的web.cacerts 选项中。例如， 要想使用 cacert.org 提供的证书，那么，妳需要下载它们的 PEM格式 根证书 ，并且配置水银，让它使用那个证书文件。

2.9. 自签名证书

妳可能想要对证书文件进行调整，例如 ，移除那些妳并不信任的认证机构，或者，加入妳自己的内部或自签名的认证机构。每次只能指定 一个证书文件，所以，妳需要在妳的用户配置文件或仓库配置文件中覆盖掉 web.cacerts 。

例如 ，可使用火狐Firefox 来获取某个服务器的根认证机构证书。访问 https://server/repo ，然后人肉验证这个仓库，确认它是妳所信任的那个仓库，然后，点击 右下角的锁图标，点击查看证书 （ View Certificate ） 、详情 （ Details ） ，然后 ，选中证书树（Certificate Hierarchy）的顶部的那个证书，然后，点击导出（ Export ）、 "X.509 Certificate (PEM)" ，将文件保存到某个地方，例如命名为 server.pem 。 可以把多个这样的文件合并成一个证书文件。

注意：请使用openssl来创建妳的服务器证书及认证机构证书。

单个经过 PEM编码 的证书，可通过以下命令来查看

• •. openssl x509 -in server.pem -text

3. 针对每个仓库来单独配置

如果妳想做更精细的控制，那么，可以针对每个本地副本显式地配置其受信的认证机构。

在本地仓库中，向 .hg/hgrc 文件中加入以下代码：

[web]

cacerts = /path/to/server.pem

注意：这要求水银达到1.7.3或更高版本。

4. 主机的证书指纹

自水银 1.7.4版本开始 ，引入 了一种新的用来验证服务器的身份的方法。 在针对非安全的https 连接的警告中， 会显示出该服务器的证书的指纹，然后，如果 在 hostfingerprints 小节中针对某个主机配置了这样一个指纹的话，那么，水银会在向该服务器发起的所有连接中验证它的证书是否匹配该指纹。

例如，对于 https://hg.intevation.org/mercurial/crew+main/ ：

[hostfingerprints]

hg.intevation.org = fa:1f:d9:48:f1:e7:74:30:38:8d:d8:58:b6:94:b8:58:28:7d:8b:d0

5. 对于自签名证书，手动忽略安全性检查

这显然是一种不安全的行为。

有些时候，还是需要禁用安全性检查，例如，连接到那些自签名的主机。要做到这一点，则，在命令行中禁用认证机构配置选项：

hg push --config web.cacerts= https://self-signed-host/repo

自水银1.7.5 版本开始，引入了一个 --insecure 选项，所以，可以这样：

hg push --insecure https://self-signed-host/repo

6. HTTP代理支持

自水银1.8版本开始，还会检查那些通过HTTP 代理使用CONNECT 发起的HTTPS 连接的证书。

7. SMTP TLS证书

水银2.6及更高版本，还会验证针对SMTP 的SSL/TLS 证书。

8. 参考

• •. http://docs.python.org/library/ssl.html#ssl-certificates

• •. http://curl.haxx.se/docs/sslcerts.html

• •. http://bugs.python.org/issue1589

• •. http://mercurial.selenic.com/bts/issue2407

」雷日亮"幸目剖发末央 暑予牛去[]成兽

苜儡茎儡窒冒韦i义悸的亡亏 一个哽咳 、 岫昙一个正赓由界江毁

的人、 十一右出恒、 一*三右收 L、 二卞四竿〔司敦覆男入、亨皮

膊儡盲、 又赓她目己攘订JE浸 、 看盲乓、L\而.

她熹马晓H盲4

亏反时、岫冒苜一张亩爱的欠圆脸、精丑的灭目畏幔肖、 美亏寻又口惑

成的碧`花 、 张!汤而夺目.

此亥吐 、 仅筝过4o岁三誓爻重说目己已耆 乒斤盲

庄〔司的男外\音 旦贾_

冒盲叁、X.!勿日氢蛀又豪脸上已夕蓉召了氢魇仅 、 彗日遭咤的目量申怠了

看r唇世市日 ` 口冈捐_

只畏产个黛台舅、 童华已辽、 技贸又〕搐.

儡以午夜的昙<c、 美丽盏鼻?*L 刀瑰、 凋蓄迁昙立尧厝颐.

人生又抛买i兄儡以娜长夜 、 夜夫户 、 烹旱生却y或罗.

Your opinions

Your name:Email:Website url:Opinion content:Send