我有一些麻烦配置我的windows工作与az命令行工具。我已经测试了多个配置。一个在本地安装的系统和一个与基于windows的docker容器。我得到了相同的错误在两个系统上。
如果我发出以下命令:
az login --tenant my-domain.org出现以下错误:
HTTPSConnectionPool(host='login.microsoftonline.com', port=443): Max retries exceeded with url: /my-domain.org/.well-known/openid-configuration (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1125)')))
容器具有以下az和openssl版本:
PS C:\azp> az version
{
"azure-cli": "2.28.0",
"azure-cli-core": "2.28.0",
"azure-cli-telemetry": "1.0.6",
"extensions": {}
}
PS C:\azp> openssl version
OpenSSL 1.1.1k 25 Mar 2021本地系统具有以下az和openssl版本:
(base) PS C:\01_Dev\dockerdevimage> az version
{
"azure-cli": "2.26.1",
"azure-cli-core": "2.26.1",
"azure-cli-telemetry": "1.0.6",
"extensions": {}
}
(base) PS C:\01_Dev\dockerdevimage> openssl version
OpenSSL 1.1.1c 28 May 2019我试图理解为什么会出现这个错误,所以我用openssl测试了连接,如下所示:
PS C:\azp> openssl s_client -proxy 10.76.209.147:3128 -connect login.microsoftonline.com:443 -showcerts
CONNECTED(00000180)
Can't use SSL_get_servername
depth=2 DC = org, DC = my-domain, CN = PKI, CN = BB-CA-DD <-- edited manually
verify error:num=19:self signed certificate in certificate chain
verify return:1我还使用相同的代理服务器和Linux容器进行了测试,az命令按预期工作:
$ az version
{
"azure-cli": "2.25.0",
"azure-cli-core": "2.25.0",
"azure-cli-telemetry": "1.0.6",
"extensions": {}
}
$ openssl version
OpenSSL 1.1.1f 31 Mar 2020
$ az login --tenant my-domain.org
The default web browser has been opened at https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/oauth2/authorize. Please continue the login in the web browser. If no web browser is available or if the web browser fails to open, use device code flow with `az login --use-device-code`.
You have logged in. Now let us find all the subscriptions to which you have access...
[
{
"cloudName": "AzureCloud",
...在Linux容器上,openssl命令返回以下输出:
$ openssl s_client -proxy 10.76.209.147:3128 -connect login.microsoftonline.com:443 -showcerts
Can't use SSL_get_servername
depth=2 DC = org, DC = my-domain, CN = PKI, CN = BB-CA-DD
verify return:1我还根据此链接使用以下命令导入了证书:
PS C:\azp> Import-Certificate -FilePath .\BB-CA-DD.crt -CertStoreLocation Cert:\LocalMachine\Root\没有变化我不知道该怎么做。
也许这个问题与以下帖子和文章有关:
- Can OpenSSL on Windows use the system certificate store?
- How to Use OpenSSL with a Windows Certificate Authority to Generate TLS Certificates
- Installing TLS / SSL ROOT Certificates to non-standard environments
编辑:
我已经将解决方案从这里移到了"答案"块,以强调我的问题已经解决。根据React,我得出结论,它对其他人也确实有用。
3条答案
按热度按时间idfiyjo81#
最后,我能够解决这个问题,如下所示:
我找到了以下文档:
Setting up certificates for Azure CLI on Azure Stack Development Kit
基本思路是找到用于Azure CLI的Python安装并更新相关证书文件。
在我的示例中,Azure CLI与python一起安装在以下位置:
C:\程序文件(x86)\Microsoft软件开发工具包\Azure \CLI2\python.exe
使用建议的命令,返回如下:
更新上面提到的文件为我解决了
az login的问题。my-domain.org提供的一个python安装包含一个正确配置的cacert.pem文件。egdjgwm82#
您可以使用以下方法
Azure CLI正在此位置查找证书(如果使用Windows)
默认证书颁发机构捆绑包Windows C:\程序文件(x86)\Microsoft SDK\Azure\CLI2\库\站点包\证书\cacert.pem
下载Azure门户的证书(portal.azure.com)
将证书附加到上述cacert.pem文件中,并在重新启动powershell后再次尝试Az登录。
或者
如果你通过代理服务器使用Azure CLI,可能会导致以下错误:SSLError(“错误的握手:错误([('SSL routines','tls_process_server_certificate','证书验证失败')],)",)。若要解决此错误,请将环境变量REQUESTS_CA_BUNDLE设置为PEM格式的证书颁发机构捆绑包证书文件的路径。
将代理服务器的证书附加到此文件或将内容复制到另一个证书文件,然后将REQUESTS_CA_BUNDLE设置到此文件。您可能还需要设置HTTP_PROXY或HTTPS_PROXY环境变量。
链接到Ms Docs解决方案
mpbci0fu3#
我通过为IPv4更改DNS解决了这个问题。也许它也可以为您工作。我在更改DNS后运行
az upgrade命令。当我运行az upgrade时,同时给出此错误,它说“检查Internet连接”。它升级成功,相关错误已解决。我用谷歌DNS作为DNS.
8.8.8.8
8.8.4.4
然后我设置DNS为自动选项。我可以继续使用它没有任何问题。我现在可以访问与
az login命令。