Как полностью отключить проверки SSL-сертификатов в Mercurial / TortoiseHg?
Я ищу способ сделать --insecure опция по умолчанию для любого hg Команда \ TortoiseHg.
Пожалуйста, не пишите, что это плохая практика - я знаю о возможных рисках и считаю, что они полностью приемлемы.
3 ответа
Настройка cacerts в [web] раздел пустой строки выглядит так же. Из источника:
if cmdoptions.get('insecure', False):
ui.setconfig('web', 'cacerts', '!', '--insecure')
что вики подтверждает:
Иногда может оказаться целесообразным отключить проверки безопасности, например, при работе с хостами с самозаверяющими сертификатами. Это можно сделать, отключив конфигурацию сертификата CA в командной строке:
hg push --config web.cacerts = https: // самоподписанный хост / репо
Итак, выкладываю cacerts=! в [web] раздел вашего глобального hgrc (/etc/mercurial/hgrc на linux-лайки) попадет туда.
Если ваша цель состоит в том, чтобы исключить предупреждения отпечатков пальцев сертификатов во время push / pull, есть лучший способ сделать это. Используйте [hostfingerprints] в.hg / hgrc (или ~/.hgrc - см. Комментарии).
[hostfingerprints]
server.example.org = 38:76:52:7c:87:26:9a:8f:4a:f8:d3:de:08:45:3b:ea:d6:4b:ee:cc
Это исключит предупреждения без устранения проверок безопасности.
Примечание: я вижу из ваших комментариев к другому ответу, что вы уже нашли это решение. Я отправляю это в любом случае на случай, если у кого-то есть такая же проблема.
Вы можете использовать псевдонимы для достижения этого. Добавьте это к вашему .hgrc:
[alias]
push = push --insecure
Проблема в том, что вам придется делать это для каждой команды, которую вы хотите использовать, и я предлагаю вам использовать разные имена для своих псевдонимов, чем имя по умолчанию.
Насколько я знаю, нет никакого способа обеспечить --insecure для всех команд "автоматически".
Фон
Как указано в ответе Брюса Олдермана, хорошая альтернатива использованию --insecure вариант просто добавить отпечатки пальцев хоста к ~/.hgrc файл. (Предположительно запрещено добавлять их в .hg/hgrc из-за угроз безопасности.) [hostfingerprints] раздел однако устарел.
Новые инструкции
Добавьте следующее к ~/.hgrc:
[hostsecurity]
<host>:fingerprints=sha256:<hash>
где <host> должен быть заменен на имя хоста (без https:// префикс) и <hash> должен быть заменен отпечатком SHA-256 (32 байта, записывается как : -разделенный шестнадцатеричный). Вывод следующей команды SHA-256 по отпечатку пальца
openssl s_client -connect <host>:<port> < /dev/null 2>/dev/null | openssl x509 -fingerprint -sha256 -noout -in /dev/stdin
после замены <host> а также <port> имеет форму
SHA256 Fingerprint=<hash>
Например, для самозаверяющего сертификата, запущенного с локального компьютера, можно иметь запись в ~/.hgrc который выглядит как
[hostsecurity]
localhost:fingerprints=sha256:DD:30:5A:9B:2C:E1:59:7E:46:C4:42:D3:41:34:03:17:2A:CF:50:E8:DF:78:E6:2E:C9:42:D9:9A:C9:58:AC:52
На странице Mercurial есть дополнительная документация о безопасных соединениях.