****

作为开发者，我们每天都会用Git与远程仓库（如GitHub、GitLab）交互。当使用HTTPS协议时，你可能会遇到各种证书错误，比如`SSL certificate problem`或`unable to get local issuer certificate`。这些错误背后涉及HTTPS证书验证机制。本文会用大白话拆解原理，并通过实际案例教你如何解决。

一、HTTPS证书在Git中的作用

1.1 为什么需要证书？

HTTPS的本质是HTTP+SSL/TLS加密层。当Git通过HTTPS访问仓库时，服务器会返回一个数字证书，证明自己是合法的（比如github.com而不是钓鱼网站）。你的电脑会检查：

- 证书是否由受信任的机构（如DigiCert、Let's Encrypt）签发？

- 证书域名是否匹配当前访问的地址？

- 证书是否在有效期内？

类比例子：就像你去银行办业务，柜员需要出示工牌（证书），你检查工牌是不是银行发的（CA签发）、照片和本人是否一致（域名匹配）。

1.2 常见错误场景

- 自签名证书：企业内部GitLab可能使用自签证书（自己充当CA），默认不被系统信任。

- 中间证书缺失：部分服务器未正确配置证书链，导致客户端无法验证。

- 系统时间错误：电脑时间不对可能触发“证书过期”误报。

二、实战解决Git HTTPS证书问题

2.1 临时绕过验证（不推荐）

如果急需拉取代码但被卡住，可以临时关闭验证：

```bash

git config --global http.sslVerify false

```

?? 风险警告：这会禁用所有HTTPS校验，可能遭遇中间人攻击。仅限测试环境！

2.2 永久添加信任（推荐方案）

案例1：企业自签名证书

假设公司Git地址是`https://git.mycompany.com`，其自签证书需手动导入到系统信任库。

步骤：

1. 从IT部门获取`.pem`或`.crt`格式的根证书。

2. 添加到操作系统的信任库：

- Linux/MacOS：

```bash

sudo cp company-root.crt /usr/local/share/ca-certificates/

sudo update-ca-certificates

```

- Windows：双击证书文件 → “安装” → 选择“受信任的根证书颁发机构”。

3. Git会自动继承系统信任库。

案例2：修复缺失的中间证书

某些服务器只返回站点自身的证书，缺少中间CA的证明链。可通过以下命令补全：

下载完整的CA链（以Let's Encrypt为例）

openssl s_client -showcerts -connect github.com:443 github-chain.pem

告诉Git使用这个文件

git config --global http.sslCAInfo /path/to/github-chain.pem

三、深入理解背后的技术

3.1 Git如何验证HTTPS？

底层依赖的是操作系统的SSL库（如OpenSSL或Schannel）。流程如下：

1. Git请求连接 → SSL库接收服务器发来的X.509格式的公开密钥和签名信息。

2. SSL库检查本地是否有对应的根CA公钥来解密签名。

3. 若解密成功且信息一致，则通过验证。

3.2 HTTPS vs SSH的区别

| HTTPS认证 | SSH认证 |

|--|--|

| 依赖数字PKI体系 | 基于非对称密钥对 |

| CA机构集中化管理 | Key需手动上传到Git平台 |

| Windows友好 | Linux/Mac更常用 |

四、高级技巧与排查工具

4.1 OpenSSL诊断命令

openssl s_client -connect gitlab.example.com:443 -servername gitlab.example.com

输出会显示完整的握手过程及错误细节（如`verify error:num=20`表示根CA未找到）。

4.2 Git特定配置项

- `http.sslCAPath`：指定自定义CA目录。

- `http.sslcipherList`：调整加密套件（应对老旧服务器）。

五、与最佳实践

? 该做的

- 优先使用操作系统级信任管理。

- SSH适合高频操作场景且安全性更高。

? 不该做的

- ?长期禁用`sslVerify`。

- ?手动修改hosts文件绕过域名校验。

遇到问题时，先问自己三个问题：

1?? CA是否可信？ → `openssl x509 -text -in cert.pem`查看颁发者

2?? DNS是否正确？ → `nslookup git.example.com`

3??时间对吗？ → `date`

掌握这些知识后，你将能游刃有余地处理各类Git HTTPS故障！

TAG:git访问https的证书,githun无法访问,git ssl certificate problem,git host key verification,git配置https,gitssl证书