実行すると、sudo lynis audit systemSSL証明書の2つ(/etc/ssl/certs/ca-certificates.crtおよび/etc/ssl/certs/ssl-cert-snakeoil.pem)が期限切れになったことを示すメッセージが表示されます。
この問題を解決するにはどうすればよいですか?その証明書を削除しますか?それではどうでしょうか?私はDebian 9.1とKDEを使用しています。
ベストアンサー1
/etc/ssl/certs/ca-certificates.crt単に「あなたの」SSL証明書になってはいけません。信頼できるCA証明書の完全なリストを単一のファイルに保存するプログラムの場合は、OpenSSLが信頼するすべてのCA証明書を関連付ける必要があります。
OpenSSLを使用する一部のプログラムは、ファイル名が証明書ハッシュ(通常は0のN形式)のディレクトリ内の別々のファイルとして信頼できるCA証明書を期待しますHHHHHHHH.N(同じハッシュを持つ証明書が2つ以上ある場合、最初の証明書は同じハッシュ)サフィックス.0、2番.1目など)。これはディレクトリのシンボリックリンクを介して行われます/etc/ssl/certs。
どちらの形式もupdate-ca-certificatesファイルによって制御されるコマンドで管理されます/etc/ca-certificates.conf。ルート証明書の実際のマスターコピーは/usr/share/ca-certificates/(/usr/local/share/ca-certificatesDebianの方法でカスタムルート証明書を追加することを選択した場合)、サブディレクトリにあります。
特定のデフォルトのCA証明書を除外するには(たとえば、証明書の有効期限が切れ、システム構成から期限切れの証明書をすべて削除するように指示されたため)、編集して行の前に感嘆/etc/ca-certificates.conf符を付けてからupdate-ca-certificatesrootを実行する必要があります。カスタムCA証明書の場合は、/usr/local/share/ca-certificates/*実行する前にサブディレクトリから削除する必要がありますupdate-ca-certificates。それ以外の場合は、update-ca-certificates will just add it back whenever theca-certificates パッケージが更新または再構成されます。
期限切れの証明書は/etc/ssl/certs通常問題ではありません。 OpenSSLライブラリ機能は、期限切れの証明書を確認し、期限切れの証明書を検証失敗として報告します。もちろん、システムがリアルタイムと日付を認識しない場合、またはアプリケーションが誤ってプログラムされて証明書の有効期限を無視する場合は、構成から期限切れの証明書を削除する必要がある理由があります。
/etc/ssl/certs/ssl-cert-snakeoil.pem証明書を再生成する場合、コマンドは次のようになります。
make-ssl-cert generate-default-snakeoil --force-overwrite
その後、/etc/ssl/certs/ssl-cert-snakeoil.pem新しい自己署名証明書で証明書を上書きし、対応する新しい秘密鍵で/etc/ssl/private/ssl-cert-snakeoil.keyファイルを上書きします。