33 votos

Cómo actualizar cURL CA paquete RedHat?

Estoy corriendo en problemas donde la CA compuesto que ha estado liado con mi versión de cURL es obsoleta.

curl: (60) SSL certificate problem, verify that the CA cert is OK. Details:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
More details here: http://curl.haxx.se/docs/sslcerts.html

La lectura a través de la documentación no me ayuda porque yo no entendía lo que tenía que hacer o cómo hacerlo. Estoy corriendo RedHat y la necesidad de actualizar la CA paquete. ¿Qué tengo que hacer para actualizar mi CA paquete RedHat?

46voto

Nada Puntos 636

Curl es usar el sistema por defecto CA paquete se almacena en /etc/pki/tls/certs/ca-bundle.crt . Antes de cambiarlo, hacer una copia de ese archivo, de modo que usted puede restaurar el sistema por defecto si es necesario. Usted puede simplemente anexar nuevos certificados de CA a ese archivo, o puede reemplazar la totalidad del conjunto.

Estás preguntando dónde conseguir los certificados? Yo (y otros) recomendar curl.haxx.se/ca . En una línea:

curl http://curl.haxx.se/ca/cacert.pem -o /etc/pki/tls/certs/ca-bundle.crt

Alternativamente, usted puede seguir las instrucciones en este artículo, a solicitud de los certificados a través de https.

Fedora Core 2 ubicación es /usr/share/ssl/certs/ca-bundle.crt.

31voto

lzap Puntos 718

La forma recomendada de hacerlo en RHEL 6+ sistemas es el uso de update-ca-confianza de la herramienta, que se instala de forma predeterminada.

# cat /etc/pki/ca-trust/source/README 
This directory /etc/pki/ca-trust/source/ contains CA certificates and 
trust settings in the PEM file format. The trust settings found here will be
interpreted with a high priority - higher than the ones found in 
/usr/share/pki/ca-trust-source/.

=============================================================================
QUICK HELP: To add a certificate in the simple PEM or DER file formats to the
            list of CAs trusted on the system:

            Copy it to the
                    /etc/pki/ca-trust/source/anchors/
            subdirectory, and run the
                    update-ca-trust
            command.

            If your certificate is in the extended BEGIN TRUSTED file format,
            then place it into the main source/ directory instead.
=============================================================================

Please refer to the update-ca-trust(8) manual page for additional information

Por lo tanto, sólo se necesita para soltar su archivo de crt a la /etc/pki/ca-trust/source/anchors/ y para ejecutar la herramienta. El trabajo realizado. Esto es seguro hacerlo, usted no necesita hacer copias de seguridad. Manual completo página se puede encontrar aquí: https://www.mankier.com/8/update-ca-trust

6voto

Probablemente depende de la versión de Redhat. Usted puede encontrar el paquete que se actualiza el archivo haciendo:

rpm -qf /etc/pki/tls/certs/ca-bundle.crt

Mi resultado fue mostrando que openssl-0.9.8 e-12.el5 necesita ser actualizado.

Si no se actualizan los certificados en su distribución, tendrá que actualizar manualmente, como por Nada la respuesta.

6voto

mgorven Puntos 19205

Red hat enterprise linux proporciona el Mozilla certificados de CA como parte de la ca-certificates (paquete de instalar esta con yum , si no está ya instalado). A decir cURL para el uso de estas, el uso de la --cacert parámetro como así.

curl --cacert /etc/ssl/certs/ca-bundle.crt https://google.com/

5voto

Adam Williamson Puntos 76

Desde que Dan Pritts' comentario, Red Hat ha sido la actualización del certificado de paquetes para las versiones de RHEL más a menudo; se puede ver muy fácilmente en el paquete changelog. RHEL 6 certificados se actualiza dos veces en 2013 y dos veces en 2014.

Todos RHEL y afines / clon / derivados de las distribuciones de proporcionar un archivo de paquete en /etc/pki/tls/certs/ca-bundle.crt , y el mismo archivo en /etc/pki/tls/cert.pem (en las personas de edad distribuciones cert.pem es un enlace simbólico a ca-bundle.crt; en las nuevas distros ambos son enlaces simbólicos a un archivo de salida por update-ca-trust).

En red hat enterprise linux 6 y más reciente, el paquete es parte de la " ca-certificados de paquete. En RHEL 5 y versiones anteriores es parte de la "openssl" paquete.

En red hat enterprise linux 6 con la actualización https://rhn.redhat.com/errata/RHEA-2013-1596.html y la más reciente de red hat enterprise linux, el " sistema compartido de certificados de sistema está disponible (debe ejecutar update-ca-trust enable a habilitar) y el mejor método es dada por lzap. Una ventaja de este sistema es que funciona para el NSS y GnuTLS aplicaciones basadas así como OpenSSL -. Tenga en cuenta que también puede desconfiar de un certificado de colocarlo en el directorio /etc/pki/ca-trust/source/blacklist/.

En RHEL 5 y más (y RHEL 6 si no desea utilizar el nuevo sistema) usted puede confiar extra CAs mediante la colocación de sus PEM formato de certificado de archivos con la extensión .pem en /etc/pki/tls/certs y ejecución c_rehash (puede que también necesite yum install /usr/bin/c_rehash). Esto sólo funcionará para el software que utiliza OpenSSL predeterminado de confiar en las tiendas. Esto es mejor que la edición o sustitución del archivo de paquete porque le permite continuar recibiendo actualizaciones oficiales para el archivo de paquete.

El Software que utiliza uno de los paquete de ubicaciones de archivos directamente (en lugar de pedirle a OpenSSL para utilizar el sistema por defecto de la confianza de las tiendas) no respetar el cambio; si usted tiene ese tipo de software que usted está atascado de editar el archivo de paquete (o mejorar el software). Software que no utiliza OpenSSL en todos no respetar el añadido de certificado.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: