在软件开发团队中，Git是代码版本管理的核心工具，而HTTPS协议因其易用性（穿透防火墙、无需SSH密钥配置）成为企业内常见的代码传输方式。但当企业使用自签名证书时，开发人员常会遇到证书不被信任的报错。本文将以“厨房做饭”的比喻，带你理解自签名证书的原理，并给出5种实战解决方案。

一、为什么需要自签名证书？——从“家庭厨房”说起

想象你公司的Git服务器是自家厨房，而HTTPS证书就像卫生许可证：

- 公共CA颁发的证书：相当于“米其林认证”，所有人都信任（如Let's Encrypt）。

- 自签名证书：相当于你自己写的“本厨房已消毒”纸条，外人第一次看到会怀疑。

企业选择自签名证书通常有两个原因：

1. 内部环境隔离：如同家庭厨房不对外营业，内网Git服务无需公共CA验证。

2. 成本与控制：避免购买商业证书的费用，且可自定义有效期（比如10年）。

二、Git HTTPS报错的本质——信任链断裂

当执行`git clone https://git.example.com/repo.git`时出现：

```

fatal: unable to access 'https://git.example.com/repo.git': server certificate verification failed.

这就像外卖小哥拒绝取餐，因为他不认你的手写卫生证明。其根本原因是：

- Git底层使用操作系统的CA根证书库（如Windows的Trusted Root Store）

- 自签名证书不在这个“信任名单”中

三、5种解决方案（附代码示例）

方法1：临时关闭验证（仅测试用）

```bash

git config --global http.sslVerify false

?? 风险提示：相当于“闭眼吃饭”，可能遭遇中间人攻击。适合紧急调试但切勿长期使用。

方法2：将证书加入本地信任库

获取服务器证书（以OpenSSL为例）

openssl s_client -connect git.example.com:443 -showcerts /dev/null | openssl x509 -outform PEM > git-cert.pem

让Git显式信任该证书

git config --global http.sslCAInfo /path/to/git-cert.pem

? 优势：精准控制只信任特定证书。

方法3：操作系统级信任（以Ubuntu为例）

sudo cp git-cert.pem /usr/local/share/ca-certificates/

sudo update-ca-certificates

?? 原理：将证书加入系统全局CA列表，所有软件（包括Git）都会继承信任。

方法4：GIT_SSL_NO_VERIFY环境变量

export GIT_SSL_NO_VERIFY=true

git clone https://git.example.com/repo.git

?? 适用场景：CI/CD流水线中短暂使用后立即还原环境变量。

方法5：使用SSH替代HTTPS

git remote set-url origin git@git.example.com:repo.git

?? 推荐方案：彻底避开HTTPS证书问题，但需配置SSH密钥对。

四、进阶安全实践——自签名也要专业范儿

1. 规范生成证书

错误的openssl命令会导致弱加密：

```bash

错误示范（SHA1已淘汰）

openssl req -x509 -sha1 -nodes -days 3650 -newkey rsa:2048...

正确做法（SHA256 + ECC）

openssl req -x509 -sha256 -nodes -days 365 -newkey ec:<(openssl ecparam -name prime256v1)...

```

2. 设置CRL吊销列表

如同给离职员工的厨房门禁卡注销：

```openssl ca -gencrl -out crl.pem```

3. 客户端自动部署脚本示例

!/bin/bash

CERT_URL="http://internal-wiki/company-root-ca.pem"

curl -s $CERT_URL >> /etc/ssl/certs/ca-certificates.crt && \

echo "Success" || echo "Failed"

五、 Checklist

| ?最佳实践 | ?常见错误 |

|||

| ? ECC算法+短有效期 | ? RSA1024+10年有效期 |

| ? CRL吊销机制 | ? 全公司共用同一张证 |

| ? CI/CD预装CA | ? http.sslVerify false提交到代码库 |

通过合理配置自签名证书，既能保障内网Git通信安全，又能避免开发团队陷入无尽的`sslVerify`报错地狱。记住：安全性与便利性需要平衡，但绝不能以完全关闭防御为代价。

TAG:git https 自签名证书,git签出,gitssl证书,gitlab证书,git配置证书