パッケージをインストールせずにDebianにカスタムCA証明書をインストールできますかca-certificate?
私は各リリースのライフサイクルを超えてサーバーを実行する傾向があり、数年後には常に問題に直面しているようです。 cURLがサーバー、PHPopenssl.cafileなどcurl.cainfoを検証できないなどの簡単な問題です。邪魔になるわけではありませんが、迷惑なことです。
今Busterをインストールしていますが、今回は最初から問題が発生しないことを願っています。
理想的にはダウンロードしたいです。cacert.pemcurl.se(Mozillaソースコード)からディレクトリに配置し、オペレーティングシステムとそれを必要とするすべてのソフトウェアにそれを使用するように指示します。これにより、期限が切れると、Call.seまたはMozillaソースから最新バージョンを再ダウンロードできます。
ベストアンサー1
update-ca-certificates実際にはシェルスクリプトです。この内容を読んで、必要に応じて一部を変更できます。
簡単に言えば、update-ca-certificates証明書を追加すると、/etc/ssl/certs/PEM形式の証明書ファイルへのシンボリックリンクが生成されます。update-ca-certificatesCA証明書はサフィックス付きのPEM形式のファイルでなければ*.crtなり*.pemませ/etc/ssl/certs/<somename>.pemん/elsewhere/<somename>.crt。
OpenSSLでは、信頼できるCA証明書を含むディレクトリにハッシュ経由でアクセスできる必要があるため、その/etc/ssl/certs/ディレクトリ内に別のシンボリックリンクが作成されます<certificate hash>.0 -> <somename>.pem。これは<certificate hash>次のように手動で計算できます。
openssl x509 -in <certificate PEM file> -noout -hash
別の証明書に同じハッシュがある場合、セクションは一意の名前が見つかるまで増加してから.0増加します。このハッシュはセキュリティメカニズムではありません。単に、OpenSSLが証明書を検証するときにハッシュを介して必要なCA証明書をすばやく見つけることを許可するだけです。.1.2
または、cd /etc/ssl/certs; openssl rehash .ディレクトリ内のすべての証明書のハッシュ化されたシンボリックリンクを作成するために使用できます。
/etc/ssl/certificates/ca-certificates.crt信頼できるCA証明書のリストのみを単一のファイルとして受け入れるプログラムの場合は、新しい証明書PEMファイルの内容も追加されます。 PEM形式の証明書に末尾の改行文字がない場合、スクリプトは証明書をca-certificates.crt。
スクリプトupdate-ca-certificatesは/etc/ca-certificates/update.d/。
Javaパッケージのバージョンがインストールされている場合は、OpenSSL CAとまったく同じ証明書を含むように、証明書ディレクトリまたはファイル内のJavaキーストアファイルも更新するJavaパッケージによって削除されたスクリプトがある可能.dpkg性があります。/etc/ca-certificates/update.d/jks-keystore/etc/ssl/certs/java/cacerts/etc/ssl/certs/etc/ssl/certs/ca-certificates.crt
編集済み