我一直试图将照片上传到我的AWS存储桶,但遇到了标题中提到的错误。我知道这很可能与我的OpenSSL证书有关,但到目前为止,我尝试过的任何建议的解决方案都失败了。
我在OSX Yosemite上使用ruby 2.3.1、Rails 4.1.8、aws-sdk内核2.3.4和carrierwave 0.11.0时遇到了这个问题。
我已经尝试了在这个类似问题上找到的所有可用内容,以及其他内容(这个是Windows):https://github.com/aws/aws-sdk-core-ruby/issues/166#issuecomment-111603660
以下是我的一些文件:
carrierwave.rb
CarrierWave.configure do |config| # required
config.aws_credentials = {
access_key_id: Rails.application.secrets.aws_access_key_id, # required
secret_access_key: Rails.application.secrets.aws_access_key, # required
region: 'eu-west-2' # optional, defaults to 'us-east-1'
}
config.aws_bucket = Rails.application.secrets.aws_bucket # required
config.fog_attributes = { 'Cache-Control' => "max-age=#{365.day.to_i}" } # optional, defaults to {}
end
avatar_uploader.rb
class AvatarUploader < CarrierWave::Uploader::Base
storage :aws
def store_dir
"uploads/#{model.class.to_s.underscore}/#{mounted_as}/#{model.id}"
end
end
编辑(更多信息):
stack trace:
Seahorse::Client::NetworkingError - SSL_connect returned=1 errno=0 state=error: certificate verify failed:
/Users/stevenharlow/.rbenv/versions/2.3.1/lib/ruby/2.3.0/net/http.rb:933:in `connect_nonblock'
/Users/stevenharlow/.rbenv/versions/2.3.1/lib/ruby/2.3.0/net/http.rb:933:in `connect'
/Users/stevenharlow/.rbenv/versions/2.3.1/lib/ruby/2.3.0/net/http.rb:863:in `do_start'
/Users/stevenharlow/.rbenv/versions/2.3.1/lib/ruby/2.3.0/net/http.rb:858:in `start'
/Users/stevenharlow/.rbenv/versions/2.3.1/lib/ruby/2.3.0/delegate.rb:83:in `method_missing'
aws-sdk-core (2.3.4) lib/seahorse/client/net_http/connection_pool.rb:292:in `start_session'
aws-sdk-core (2.3.4) lib/seahorse/client/net_http/connection_pool.rb:104:in `session_for'
aws-sdk-core (2.3.4) lib/seahorse/client/net_http/handler.rb:109:in `session'
尝试的解决方案:
- Aws.use_bundled_cert
- 手动下载证书和参考
- 我试着用Fog而不是carrierwave aws
- 升级rbenv后尝试重新安装ruby
这是的结果
CONNECTED(00000003)
depth=1 /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Baltimore CA-2 G2
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:/C=US/ST=Washington/L=Seattle/O=Amazon.com Inc./CN=*.s3-us-west-2.amazonaws.com
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Baltimore CA-2 G2
1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Baltimore CA-2 G2
i:/C=IE/O=Baltimore/OU=CyberTrust/CN=Baltimore CyberTrust Root
---
<certificate info>
No client certificate CA names sent
---
SSL handshake has read 2703 bytes and written 456 bytes
---
New, TLSv1/SSLv3, Cipher is AES128-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES128-SHA
Session-ID: <session-id>
Session-ID-ctx:
Master-Key: <master-key>
Key-Arg : None
Start Time: 1463697130
Timeout : 300 (sec)
Verify return code: 0 (ok)
在@RodrigoM的调查帮助和您的问题更新下,一切都开始变得有意义了。实际上,有两个不同的问题会导致您观察到的错误:
- 您的openssl安装没有在其可信证书存储中验证亚马逊服务器所需的证书链
- 。。。根据文档,这正是应该通过向初始化器添加
Aws.use_bundled_cert!来解决的确切情况。但在这种情况下,它不起作用,因为即使该命令指示ruby openssl库从aws-sdk-coregem的CA捆绑文件向受信任存储添加各种CA证书,该文件也不包含正确的CA证书,因为它本身已经有将近2年的历史了,而且已经过时了。中间CA证书CN=DigiCert Baltimore CA-2 G2已于2015年12月8日发布,因此难怪CA捆绑文件中不包含它
现在,您有两个选项:
-
您可以尝试将此中间CA证书(可能包括根CA证书(
CN=Baltimore CyberTrust Root))安装到您的openssl可信证书存储中。这将使s_client命令正常工作。但是,使用ruby代码中的这些可信证书可能仍然会遇到问题。有关使其在OSX上的ruby下工作的具体步骤,请参阅此SO问题的解决方案部分。 -
此外,由于您无论如何都在使用分叉的
aws-sdk-rubygem存储库,您还可以通过自己添加中间CA证书来更新存储库中的ca-bundle.crt文件(根CA证书似乎已经存在于捆绑包中)。为此,您需要执行以下操作:- 从DigicertCA证书的官方页面下载中间CA证书(您也可以使用上面的直接链接,但为了严格遵守安全规则,您还应该检查指纹)
-
将其转换为PEM格式(以DER格式下载),并使用以下openssl命令将其添加到cert捆绑包中:
openssl x509 -in DigiCertBaltimoreCA-2G2.crt -inform DER >> ca-bundle.crt运行此命令后,
ca-bundle.crt应该在文件末尾包含中间CA证书。 -
现在只需将此更新的捆绑文件推送到您的repo,
Aws.use_bundled_cert!就应该开始工作了! - 如果你介意的话,也许最好的办法也是在
aws-sdk-rubygem上启动github问题,这样他们也可以更新回购中的证书捆绑包
您的Ruby代码、AWS SDK等都很好。这不是Ruby或SDK的问题。您最初描述的错误消息和后来发布的OpenSSL连接日志都指出了问题的根本原因:缺少根证书和/或OpenSSL框架中配置不正确的CA证书捆绑包。另一条线索是,同样的代码在生产中也有效。这不是代码。
原始错误消息本身指向您所指出的OpenSSL证书验证错误。堆栈跟踪还显示了2.3.1/lib/Ruby/2.3.0/net/http.rb中的Ruby内部lib错误。这是利用OpenSSL框架的核心网络库。
openssl s_client连接日志更清楚地显示了extact错误编号和消息:
depth=1 /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Baltimore CA-2 G2
verify error:num=20:unable to get local issuer certificate
在DigiCert Baltimore CA-2 CA上通过openssl s客户端测试获得Verify return code: 0 (ok)之前,您的代码将无法工作。
该机器上的DigiCert Baltimore CA-2 CA证书不存在或未被您的OpenSSL设置正确引用。这是OpenSSL安装损坏或不完整时非常常见的问题。您需要下载该证书,转换为PEM格式,将其保存在OpenSSL certs文件夹中的ca-certificate.crt文件中,然后在配置或环境变量SSL_CERT_file中引用该文件。
你可以在这里看到一个很好的解决你的根本问题的
注意:要进一步确认此解决方案,您应该在生产服务器上运行openssl s_client测试。您应该可以看到它毫无问题地验证同一个CA。检查那里的OpenSSL配置和CA证书捆绑包配置,看看为什么生产环境和开发环境之间存在差异。
此问题可能是由于证书无效。当您调用URL(API)时
您可以首先通过键入命令来交叉验证证书
openssl s_client -connect <url without https>:443
如果您在证书中发现任何问题,那么在证书管理器更新证书可以解决此问题。
尝试使用这些宝石和这个设置:
Gemfile
gem "carrierwave", "~> 0.11.0"
gem 'carrierwave-aws', "~> 1.0.1"
gem "unf", "~> 0.1.4"
配置/载波波形.rb
require 'carrierwave'
require 'carrierwave/orm/activerecord'
CarrierWave.configure do |config|
config.storage = :aws # required
config.aws_bucket = Rails.application.secrets.aws_bucket # required
config.aws_acl = :public_read
config.aws_credentials = {
access_key_id: Rails.application.secrets.aws_access_key_id, # required
secret_access_key: Rails.application.secrets.aws_access_key # required
}
config.aws_attributes = {
cache_control: 'max-age=31536000',
expires: 1.year.from_now.httpdate
}
end
*_uploader.rb
storage :aws
def store_dir
"uploads/#{model.class.to_s.underscore}/#{mounted_as}/#{model.id}"
end
# Use Heroku's temp folder for uploads
def cache_dir
"#{Rails.root}/tmp/uploads"
end