Водич за конфигурацију SSL, TLS и Proxy у curl

Брзи преглед SSL и Proxy опција

curl -k: Игнорисање грешака SSL сертификата

Шта ради

Опција -k (или --insecure) искључује сву верификацију SSL/TLS сертификата. curl неће проверавати да ли је сертификат сервера потписан поузданом CA, да ли се hostname поклапа или да ли је сертификат истекао.

Када користити

Користите само за локални развој са self-signed сертификатима или тестна окружења. За staging/продукцију, користите --cacert са стварним CA сертификатом — то је и безбедније и експлицитније.

$ curl -k https://localhost:8443/api/health

curl --cacert: Коришћење прилагођеног CA сертификата

Шта ради

Опција --cacert говори curl-у да верификује SSL сертификат сервера према одређеном CA (Certificate Authority) пакету у PEM формату, уместо подразумеваног системског складишта поверења.

Када користити

Користите када ваш сервер користи сертификат потписан приватном или интерном CA која није у системском складишту поверења. Ово је уобичајено у корпоративним окружењима, Kubernetes кластерима и Docker подешавањима са интерним PKI.

$ curl --cacert /path/to/corporate-ca.pem https://internal-api.example.com/data

curl --cert: Клијентски сертификат (Узајамни TLS)

Шта ради

Опција --cert обезбеђује клијентски сертификат за узајамни TLS (mTLS). У mTLS, и сервер и клијент представљају сертификате за међусобну верификацију идентитета. Фајл сертификата треба да буде у PEM или PKCS#12 формату.

Када користити

Потребно када сервер захтева аутентификацију клијентским сертификатом — уобичајено у банкарским API-јима, државним сервисима, IoT комуникацији и архитектурама нултог поверења. Увек комбинујте са --key осим ако кључ није уграђен у фајл сертификата.

$ curl --cert client.pem --key client-key.pem https://mtls-api.example.com/secure

curl --key: Приватни кључ клијентског сертификата

Шта ради

Опција --key специфицира фајл приватног кључа који се упарује са клијентским сертификатом из --cert. Кључ мора одговарати сертификату. Ако је кључ заштићен лозинком, curl ће затражити лозинку (или користите --pass).

Када користити

Увек користите заједно са --cert. Ако је приватни кључ већ уграђен у фајл сертификата (уобичајено за PKCS#12 / .p12 фајлове), можете изоставити --key.

$ curl --cert client.pem --key client-key.pem --cacert server-ca.pem https://api.example.com/secure

curl --tlsv1.2: Наметање минимум TLS 1.2

Шта ради

Опција --tlsv1.2 приморава curl да користи TLS 1.2 као минималну прихватљиву верзију за SSL/TLS руковање. Старији протоколи (TLS 1.0, 1.1, SSLv3) се одбијају.

Када користити

Користите за наметање минималног безбедносног стандарда. TLS 1.2 је потребан за PCI-DSS усклађеност и подржан је од свих модерних сервера. Већина модерних curl верзија подразумевано користи TLS 1.2+, али ова опција то чини експлицитним.

$ curl --tlsv1.2 -v https://secure.example.com/api 2>&1 | grep 'SSL connection'

curl --tlsv1.3: Наметање минимум TLS 1.3

Шта ради

Опција --tlsv1.3 приморава curl да користи TLS 1.3 — најбржу и најбезбеднију верзију TLS. TLS 1.3 елиминише додатни round-trip у руковању (подршка за 0-RTT) и уклања све застареле шифарске пакете.

Када користити

Користите када знате да сервер подржава TLS 1.3 и желите најбоље перформансе и безбедност. Напомена: TLS 1.3 захтева OpenSSL 1.1.1+ или компатибилну TLS библиотеку. Не подржавају га сви сервери.

$ curl --tlsv1.3 https://modern-api.example.com/data

Додатне SSL/TLS опције

curl -x: Коришћење HTTP/HTTPS проксија

Шта ради

Опција -x (или --proxy) усмерава сав curl саобраћај кроз наведени прокси сервер. Формат је [protocol://]host[:port]. Подржани прокси протоколи: HTTP, HTTPS, SOCKS4, SOCKS5.

Када користити

Користите за корпоративне прокси сервере, дебаговање алатима попут Fiddler, Charles или mitmproxy, тестирање географских ограничења или када директан приступ интернету није доступан. Такође можете подесити променљиве окружења http_proxy / https_proxy.

$ curl -x http://proxy.example.com:8080 https://api.example.com/data

curl --socks5: Коришћење SOCKS5 проксија

Шта ради

Опција --socks5 говори curl-у да користи SOCKS5 прокси за TCP конекцију. За разлику од HTTP проксија, SOCKS5 ради на TCP нивоу и може обрадити било који протокол — не само HTTP. DNS разрешавање се подразумевано ради локално; користите --socks5-hostname за разрешавање DNS кроз прокси.

Када користити

Користите за SSH тунеле (ssh -D), приступ Tor мрежи или када прокси мора да обрађује не-HTTP протоколе. SOCKS5 подржава UDP и може опционално обрађивати DNS — чинећи га флексибилнијим од HTTP проксија.

$ curl --socks5 localhost:1080 https://api.example.com/data

curl --proxy-user: Аутентификација на проксију

Шта ради

Опција --proxy-user (или -U) шаље аутентификационе податке прокси серверу. Формат је user:password. Ово је одвојено од аутентификације на серверу (-u).

Када користити

Потребно када прокси сервер захтева аутентификацију — уобичајено у корпоративним и enterprise мрежним окружењима. Подаци се шаљу на прокси, не на циљни сервер.

$ curl -x http://proxy.corp.com:3128 -U user:pass https://external-api.com/data

curl --noproxy: Заобилажење проксија за одређене хостове

Шта ради

Опција --noproxy специфицира листу хостова, домена или IP адреса раздвојених зарезима који треба да заобиђу прокси и директно се повежу. Подржава џокере: *.example.com одговара свим поддоменима.

Када користити

Користите за искључивање localhost, интерних сервиса или одређених домена из проксирања. Ово је важно када је прокси подешен глобално преко променљивих окружења али неки хостови (попут локалних сервиса) требају директан приступ. Користите * за заобилажење проксија за све хостове.

$ curl -x http://proxy:8080 --noproxy "localhost,127.0.0.1,*.internal.com" https://localhost:3000/api

Додатне Proxy опције

curl --resolve: Прилагођено DNS разрешавање

Шта ради

Опција --resolve обезбеђује прилагођену IP адресу за одређени пар host:port, потпуно заобилазећи DNS упит. Формат је host:port:address. Може се навести више --resolve уноса.

Када користити

Неопходно за тестирање пре DNS пропагације, верификацију одређеног backend-а иза load balancer-а или локални развој где вам треба стварни hostname за валидацију SSL сертификата. За разлику од уређивања /etc/hosts, ово је по захтеву и специфично за порт.

$ curl --resolve api.example.com:443:127.0.0.1 https://api.example.com/health

curl --connect-to: Преусмеравање конекције на други хост

Шта ради

Опција --connect-to преусмерава TCP конекцију на други пар host:port задржавајући оригинални URL за HTTP захтев (укључујући заглавље Host и SNI). Формат: HOST1:PORT1:HOST2:PORT2.

Када користити

Користите за тестирање одређеног backend сервера иза load balancer-а без мењања DNS или /etc/hosts. За разлику од --resolve, ово мапира host:port на host:port (не на IP), што је корисно када циљ такође има hostname.

$ curl --connect-to api.example.com:443:backend1.internal:8443 https://api.example.com/health

Додатне мрежне опције

Практични SSL и Proxy сценарији

Ови примери комбинују више опција за решавање уобичајених безбедносних и мрежних задатака у развојним, CI/CD и продукцијским окружењима.

$ curl --resolve myapp.local:443:127.0.0.1 --cacert local-ca.pem https://myapp.local/api/status

$ curl --cert client.pem --key client-key.pem --cacert server-ca.pem https://mtls-api.example.com/data

$ curl -x http://proxy.corp.com:3128 -U user:pass --noproxy "*.internal.corp" https://external-api.com/data

$ curl --cacert /etc/ssl/certs/internal-ca.crt https://service.docker.internal:8443/health

$ curl --socks5 localhost:1080 https://internal-api.example.com/status

Често постављана питања о SSL и Proxy у curl