curl SSL, TLS और प्रॉक्सी कॉन्फ़िगरेशन गाइड

SSL और प्रॉक्सी फ़्लैग क्विक रेफ़रेंस

curl -k: SSL सर्टिफ़िकेट एरर अनदेखा करें

यह क्या करता है

-k (या --insecure) फ़्लैग सभी SSL/TLS सर्टिफ़िकेट सत्यापन को अक्षम करता है। curl जाँच नहीं करेगा कि सर्वर सर्टिफ़िकेट किसी विश्वसनीय CA द्वारा हस्ताक्षरित है, होस्टनाम मेल खाता है, या सर्टिफ़िकेट समाप्त हो गया है।

कब उपयोग करें

केवल स्व-हस्ताक्षरित सर्टिफ़िकेट वाले लोकल डेवलपमेंट या टेस्ट वातावरण के लिए उपयोग करें। staging/production के लिए, इसके बजाय वास्तविक CA सर्टिफ़िकेट के साथ --cacert का उपयोग करें — यह अधिक सुरक्षित और स्पष्ट दोनों है।

$ curl -k https://localhost:8443/api/health

curl --cacert: कस्टम CA सर्टिफ़िकेट उपयोग करें

यह क्या करता है

--cacert फ़्लैग curl को सिस्टम के डिफ़ॉल्ट ट्रस्ट स्टोर की बजाय PEM फ़ॉर्मेट में विशिष्ट CA (Certificate Authority) बंडल फ़ाइल के विरुद्ध सर्वर का SSL सर्टिफ़िकेट सत्यापित करने के लिए कहता है।

कब उपयोग करें

जब आपका सर्वर किसी निजी या आंतरिक CA द्वारा हस्ताक्षरित सर्टिफ़िकेट उपयोग करता है जो सिस्टम ट्रस्ट स्टोर में नहीं है। यह कॉर्पोरेट वातावरण, Kubernetes क्लस्टर और आंतरिक PKI वाले Docker सेटअप में सामान्य है।

$ curl --cacert /path/to/corporate-ca.pem https://internal-api.example.com/data

curl --cert: क्लाइंट सर्टिफ़िकेट (म्यूचुअल TLS)

यह क्या करता है

--cert फ़्लैग म्यूचुअल TLS (mTLS) के लिए क्लाइंट-साइड सर्टिफ़िकेट प्रदान करता है। mTLS में, सर्वर और क्लाइंट दोनों एक-दूसरे की पहचान सत्यापित करने के लिए सर्टिफ़िकेट प्रस्तुत करते हैं। सर्टिफ़िकेट फ़ाइल PEM या PKCS#12 फ़ॉर्मेट में होनी चाहिए।

कब उपयोग करें

जब सर्वर क्लाइंट सर्टिफ़िकेट प्रमाणीकरण माँगता है — बैंकिंग API, सरकारी सेवाओं, IoT डिवाइस संचार और zero-trust आर्किटेक्चर में सामान्य। जब तक कुंजी सर्टिफ़िकेट फ़ाइल में एम्बेड न हो, हमेशा --key के साथ जोड़ें।

$ curl --cert client.pem --key client-key.pem https://mtls-api.example.com/secure

curl --key: क्लाइंट सर्टिफ़िकेट प्राइवेट कुंजी

यह क्या करता है

--key फ़्लैग --cert द्वारा प्रदान किए गए क्लाइंट सर्टिफ़िकेट की जोड़ी वाली प्राइवेट कुंजी फ़ाइल निर्दिष्ट करता है। कुंजी सर्टिफ़िकेट से मेल खानी चाहिए। अगर कुंजी पासवर्ड-संरक्षित है, curl पासफ़्रेज़ माँगेगा (या --pass का उपयोग करें)।

कब उपयोग करें

हमेशा --cert के साथ उपयोग करें। अगर प्राइवेट कुंजी पहले से सर्टिफ़िकेट फ़ाइल में एम्बेड है (PKCS#12 / .p12 फ़ाइलों में सामान्य), तो --key छोड़ सकते हैं।

$ curl --cert client.pem --key client-key.pem --cacert server-ca.pem https://api.example.com/secure

curl --tlsv1.2: न्यूनतम TLS 1.2 लागू करें

यह क्या करता है

--tlsv1.2 फ़्लैग curl को SSL/TLS हैंडशेक के लिए TLS 1.2 न्यूनतम स्वीकार्य वर्शन के रूप में उपयोग करने के लिए मजबूर करता है। पुराने प्रोटोकॉल (TLS 1.0, 1.1, SSLv3) अस्वीकार किए जाते हैं।

कब उपयोग करें

न्यूनतम सुरक्षा मानक लागू करने के लिए उपयोग करें। TLS 1.2 PCI-DSS अनुपालन के लिए आवश्यक है और सभी आधुनिक सर्वर इसे सपोर्ट करते हैं। अधिकांश आधुनिक curl बिल्ड पहले से TLS 1.2+ डिफ़ॉल्ट रखते हैं, लेकिन यह फ़्लैग इसे स्पष्ट बनाता है।

$ curl --tlsv1.2 -v https://secure.example.com/api 2>&1 | grep 'SSL connection'

curl --tlsv1.3: न्यूनतम TLS 1.3 लागू करें

यह क्या करता है

--tlsv1.3 फ़्लैग curl को TLS 1.3 — सबसे तेज़ और सबसे सुरक्षित TLS वर्शन — उपयोग करने के लिए मजबूर करता है। TLS 1.3 हैंडशेक में अतिरिक्त राउंड-ट्रिप को समाप्त करता है (0-RTT सपोर्ट) और सभी पुराने सिफ़र सूट को हटाता है।

कब उपयोग करें

जब आप जानते हैं कि सर्वर TLS 1.3 सपोर्ट करता है और आप सर्वोत्तम प्रदर्शन और सुरक्षा चाहते हैं। नोट: TLS 1.3 के लिए OpenSSL 1.1.1+ या संगत TLS लाइब्रेरी की आवश्यकता है। अभी तक सभी सर्वर इसे सपोर्ट नहीं करते।

$ curl --tlsv1.3 https://modern-api.example.com/data

अतिरिक्त SSL/TLS विकल्प

curl -x: HTTP/HTTPS प्रॉक्सी उपयोग करें

यह क्या करता है

-x (या --proxy) फ़्लैग सभी curl ट्रैफ़िक को निर्दिष्ट प्रॉक्सी सर्वर के माध्यम से रूट करता है। फ़ॉर्मेट: [protocol://]host[:port]। समर्थित प्रॉक्सी प्रोटोकॉल: HTTP, HTTPS, SOCKS4, SOCKS5।

कब उपयोग करें

कॉर्पोरेट प्रॉक्सी सर्वर, Fiddler, Charles या mitmproxy जैसे टूल से डिबगिंग, भौगोलिक प्रतिबंधों की परीक्षण, या जब सीधी इंटरनेट एक्सेस उपलब्ध न हो। आप http_proxy / https_proxy एनवायरनमेंट वेरिएबल भी सेट कर सकते हैं।

$ curl -x http://proxy.example.com:8080 https://api.example.com/data

curl --socks5: SOCKS5 प्रॉक्सी उपयोग करें

यह क्या करता है

--socks5 फ़्लैग curl को TCP कनेक्शन के लिए SOCKS5 प्रॉक्सी उपयोग करने के लिए कहता है। HTTP प्रॉक्सी के विपरीत, SOCKS5 TCP स्तर पर काम करता है और किसी भी प्रोटोकॉल को संभाल सकता है — सिर्फ़ HTTP नहीं। DNS रिज़ॉल्यूशन डिफ़ॉल्ट रूप से लोकली किया जाता है; प्रॉक्सी के माध्यम से DNS रिज़ॉल्व करने के लिए --socks5-hostname का उपयोग करें।

कब उपयोग करें

SSH टनल (ssh -D), Tor नेटवर्क एक्सेस, या जब प्रॉक्सी को गैर-HTTP प्रोटोकॉल संभालने हों। SOCKS5 UDP सपोर्ट करता है और वैकल्पिक रूप से DNS संभाल सकता है — जो इसे HTTP प्रॉक्सी से अधिक लचीला बनाता है।

$ curl --socks5 localhost:1080 https://api.example.com/data

curl --proxy-user: प्रॉक्सी प्रमाणीकरण

यह क्या करता है

--proxy-user (या -U) फ़्लैग प्रॉक्सी सर्वर को प्रमाणीकरण क्रेडेंशियल भेजता है। फ़ॉर्मेट: user:password। यह सर्वर प्रमाणीकरण (-u) से अलग है।

कब उपयोग करें

जब प्रॉक्सी सर्वर प्रमाणीकरण की माँग करता है — कॉर्पोरेट और एंटरप्राइज़ नेटवर्क वातावरण में सामान्य। क्रेडेंशियल प्रॉक्सी को भेजे जाते हैं, लक्ष्य सर्वर को नहीं।

$ curl -x http://proxy.corp.com:3128 -U user:pass https://external-api.com/data

curl --noproxy: विशिष्ट होस्ट के लिए प्रॉक्सी बायपास करें

यह क्या करता है

--noproxy फ़्लैग होस्ट, डोमेन या IP पतों की अल्पविराम-पृथक सूची निर्दिष्ट करता है जो प्रॉक्सी को बायपास करके सीधे कनेक्ट होने चाहिए। वाइल्डकार्ड सपोर्ट करता है: *.example.com सभी सबडोमेन से मेल खाता है।

कब उपयोग करें

localhost, आंतरिक सेवाओं या विशिष्ट डोमेन को प्रॉक्सी से बाहर रखने के लिए उपयोग करें। जब प्रॉक्सी एनवायरनमेंट वेरिएबल के माध्यम से वैश्विक रूप से सेट हो लेकिन कुछ होस्ट (जैसे लोकल सेवाएँ) को सीधी एक्सेस की ज़रूरत हो, यह महत्वपूर्ण है। सभी होस्ट के लिए प्रॉक्सी बायपास करने के लिए * का उपयोग करें।

$ curl -x http://proxy:8080 --noproxy "localhost,127.0.0.1,*.internal.com" https://localhost:3000/api

अतिरिक्त प्रॉक्सी विकल्प

curl --resolve: कस्टम DNS रिज़ॉल्यूशन

यह क्या करता है

--resolve फ़्लैग विशिष्ट host:port जोड़ी के लिए कस्टम IP एड्रेस प्रदान करता है, DNS लुकअप को पूरी तरह बायपास करते हुए। फ़ॉर्मेट: host:port:address। कई --resolve एंट्री दी जा सकती हैं।

कब उपयोग करें

DNS प्रसार से पहले परीक्षण, लोड बैलेंसर के पीछे विशिष्ट बैकएंड सत्यापित करने, या लोकल डेवलपमेंट जहाँ SSL सर्टिफ़िकेट सत्यापन के लिए वास्तविक होस्टनाम चाहिए, के लिए आवश्यक। /etc/hosts संपादित करने के विपरीत, यह प्रति-अनुरोध और पोर्ट-विशिष्ट है।

$ curl --resolve api.example.com:443:127.0.0.1 https://api.example.com/health

curl --connect-to: कनेक्शन को अलग होस्ट पर रीडायरेक्ट करें

यह क्या करता है

--connect-to फ़्लैग TCP कनेक्शन को भिन्न host:port जोड़ी पर रीडायरेक्ट करता है जबकि HTTP अनुरोध के लिए मूल URL (Host हेडर और SNI सहित) बनाए रखता है। फ़ॉर्मेट: HOST1:PORT1:HOST2:PORT2।

कब उपयोग करें

DNS या /etc/hosts बदले बिना लोड बैलेंसर के पीछे विशिष्ट बैकएंड सर्वर का परीक्षण करने के लिए उपयोग करें। --resolve के विपरीत, यह host:port को host:port पर मैप करता है (IP पर नहीं), जो तब उपयोगी है जब लक्ष्य का भी होस्टनाम हो।

$ curl --connect-to api.example.com:443:backend1.internal:8443 https://api.example.com/health

अतिरिक्त नेटवर्क विकल्प

वास्तविक SSL और प्रॉक्सी परिदृश्य

ये उदाहरण विकास, CI/CD और production वातावरण में सामान्य सुरक्षा और नेटवर्किंग कार्यों को संभालने के लिए कई फ़्लैग संयोजित करते हैं।

$ curl --resolve myapp.local:443:127.0.0.1 --cacert local-ca.pem https://myapp.local/api/status

$ curl --cert client.pem --key client-key.pem --cacert server-ca.pem https://mtls-api.example.com/data

$ curl -x http://proxy.corp.com:3128 -U user:pass --noproxy "*.internal.corp" https://external-api.com/data

$ curl --cacert /etc/ssl/certs/internal-ca.crt https://service.docker.internal:8443/health

$ curl --socks5 localhost:1080 https://internal-api.example.com/status

curl SSL और प्रॉक्सी के बारे में अक्सर पूछे जाने वाले प्रश्न