そのCA証明書を使用してピア証明書を認証することはできません。

tag-icon tag-icon ssl certificates alma-linux
そのCA証明書を使用してピア証明書を認証することはできません。

Alma Linux 8.8で動作していますが、パッケージをインストールできません。わかりましたPeer certificate cannot be authenticated with given CA certificates。すべてのパッケージを更新しましたが、dnf updateエラーは続きます。

google-chrome                                                                                                                  0.0  B/s |   0  B     00:00
Errors during downloading metadata for repository 'google-chrome':
  - Curl error (60): Peer certificate cannot be authenticated with given CA certificates for https://dl.google.com/linux/chrome/rpm/stable/x86_64/repodata/repomd.xml [SSL certificate problem: unable to get local issuer certificate]
Error: Failed to download metadata for repo 'google-chrome': Cannot download repomd.xml: Cannot download repodata/repomd.xml: All mirrors were tried

証明書パッケージをダウンロードしようとしましたが、https://curl.se/ca/cacert-2023-08-22.pem発行者を取得できないようです。

[autoit@vmhost-n88 ~]$ openssl s_client -connect dl.google.com:443 -CAfile cacert-2023-08-22.pem
CONNECTED(00000003)
depth=0 CN = *.google.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = *.google.com
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 CN = *.google.com
verify return:1

Googleと連携することが知られているシステムからCAバンドルをコピーしましたが、まだunable to get local issuer certificate

$ openssl s_client -connect dl.google.com:443 -CAfile tls-ca-bundle.pem
CONNECTED(00000003)
depth=2 C = US, O = Google Trust Services LLC, CN = GTS Root R1
verify return:1
depth=1 C = US, O = Google Trust Services LLC, CN = GTS CA 1C3
verify return:1
depth=0 CN = *.google.com
verify return:1

同じ証明書がAlmaLinux 8.8では機能しませんが、AlmaLinux 8.6では機能するのはなぜですか?

RPMを手動でダウンロードして確認をスキップしようとしましたが、次のような結果が出ました。

$ wget --no-check-certificate https://dl.google.com/linux/direct/google-chrome-stable_current_x86_64.rpm
--2023-09-08 11:19:15--  https://dl.google.com/linux/direct/google-chrome-stable_current_x86_64.rpm
Resolving dl.google.com (dl.google.com)... 142.250.70.238, 2404:6800:4015:803::200e
Connecting to dl.google.com (dl.google.com)|142.250.70.238|:443... connected.
WARNING: The certificate of ‘dl.google.com’ is not trusted.
WARNING: The certificate of ‘dl.google.com’ hasn't got a known issuer.
HTTP request sent, awaiting response... 307 Temporary Redirect
Location: https://172.29.200.254:8090/ips/block/webcat?cat=14&pl=1&lu=0&url=aHR0cHM6Ly9kbC5nb29nbGUuY29t [following]
--2023-09-08 11:19:16--  https://172.29.200.254:8090/ips/block/webcat?cat=14&pl=1&lu=0&url=aHR0cHM6Ly9kbC5nb29nbGUuY29t
Connecting to 172.29.200.254:8090... connected.
WARNING: The certificate of ‘172.29.200.254’ is not trusted.
WARNING: The certificate of ‘172.29.200.254’ hasn't got a known issuer.
The certificate's owner does not match hostname ‘172.29.200.254’
HTTP request sent, awaiting response... 403 Forbidden
2023-09-08 11:19:16 ERROR 403: Forbidden.

ベストアンサー1

おすすめ記事