Регистрация Войти
Рейтинг:11
avatar Ubuntu

Как установить последние ca-сертификаты на Ubuntu 14

флаг sm
user1389892

У меня установлена ​​Ubuntu 14.04.5 LTS. Совсем недавно стало невозможно проверять современные сертификаты Let's Encrypt. Текущая версия ca-сертификаты является 20160104убунту0.14.04.1. apt search ca-сертификаты говорит мне, что пакет можно обновить до 20170717~14.04.2 от надежные обновления, но я думаю, что это, вероятно, недостаточно современно.

Я понимаю ca-сертификаты версия 20210119~18.04.2 в бионические обновления. Можно ли установить это без нарушения работы системы? Есть ли способ лучше? Спасибо.

5753
0 + 0
ssl
флаг in
matigo
К сожалению, 14.04 не поддерживается на этом сайте. Если у вас есть [ESM с Canonical](https://ubuntu.com/blog/ubuntu-14-04-and-16-04-lifecycle-extended-to-ten-years), они могут предоставить точную отвечать
2
Ответить
guiverc avatar
флаг cn
guiverc
Только поддерживаемые выпуски Ubuntu (*стандартная или публичная поддержка*) актуальны для этого сайта. Ubuntu 14.04 LTS является EOL (*конец жизни*), поэтому не по теме, а Ubuntu 14.04 ESM находится в *расширенной* поддержке и поддерживается только Canonical через Ubuntu Advantage, поэтому здесь также не по теме. См. https://askubuntu.com/help/on-topic https://help.ubuntu.com/community/EOLUpgrades https://fridge.ubuntu.com/2019/05/02/ubuntu-14-04-trusty-tahr-reached-end-of-life-on-april-25-2019-esm-available/
2
Ответить
Рейтинг:11
avatar Ubuntu
флаг ae
jaygooby

Вы можете установить последние стабильные сертификаты из исходников (вам понадобится рабочий wget и unxz или, по крайней мере, способ копирования несжатого файла .tar или его содержимого на целевой сервер (возможно, просто scp -r как только вы извлекли его локально):

# Обеспечить зависимости
sudo apt -y install make tar xz-utils wget

# Сделайте место для его сборки
mkdir -p ~/источник
компакт-диск ~/источник
wget https://launchpad.net/ubuntu/+archive/primary/+sourcefiles/ca-certificates/20210119~20.04.2/ca-certificates_20210119~20.04.2.tar.xz    
tar -xJf ca-certificates_20210119~20.04.2.tar.xz

#Â Теперь соберите и установите
cd ca-сертификаты-20210119~20.04.1
делать
судо сделать установить

# Возможно, вы захотите запустить это в интерактивном режиме, чтобы убедиться, что
# вы можете выбрать ISRG Root X1
# в этом случае просто запустите: sudo dpkg-reconfigure ca-certificates
sudo dpkg-reconfigure -fnoninteractive ca-сертификаты
sudo update-ca-сертификаты
/usr/bin/c_rehash /etc/ssl/сертификаты
0 + 0
флаг cg
Daniel Buckmaster
Я прошел через это, и он сгенерировал много новых сертификатов в `/usr/share/ca-certificates/mozilla`, а также `/etc/ssl/certs/ca-certificates.crt`. Но `curl` по-прежнему не может проверять сертификаты, даже с `--cacert /etc/ssl/certs/ca-certificates.crt`
0
Ответить
флаг sm
user1389892
Этот ответ был очень полезен. Во-первых, в `sbin/update-ca-certificates` мне пришлось изменить `openssl rehash` на `c_rehash` (я изучал более старую версию `ca-certificates`). Мне также пришлось выполнить `dpkg-reconfigure ca-certificates` (в интерактивном режиме), чтобы активировать сертификаты Let's Encrypt ISRG X1. Затем я сделал `update-ca-certificates --fresh --verbose`. Убедитесь, что в `/etc/ssl/certs` есть символические ссылки `ISRG Root X1`.
2
Ответить
флаг ae
jaygooby
@даниэль-бакмастер; проверьте пару вещей... У вас есть `ls -l /etc/ssl/certs/ISRG_Root_X1.pem`, если нет, попробуйте интерактивную `dpkg-reconfigure`, предложенную выше. Если вы это сделаете, убедитесь, что у вас *нет* `/etc/ssl/certs/DST_Root_CA_X3.pem` (сертификат с истекшим сроком действия) — снова вы можете интерактивно отменить его выбор в `dpkg-reconfigure ca-certificates`. Какую библиотеку openssl использует curl? Запустите `curl -V`, и он покажет вам.Надеюсь, это 1.0.x, например OpenSSL/1.0.1f, а не OpenSSL/0.9.7.
1
Ответить
флаг de
ttk
Я выполнил все описанные выше шаги, но `curl` все еще жаловался. В моем случае команда `openssl c_rehash` не выполнялась в сценарии `update-ca-certificates`. Я попытался принудительно переустановить пакет apt `openssl`, но это не помогло. Что, наконец, решило мою проблему, так это `cd /etc/ssl/certs`, а затем напрямую запустить сценарий перехеширования: `/usr/bin/c_rehash`.
1
Ответить
Ariel Kogan avatar
флаг cx
Ariel Kogan
Спасибо @user1389892 за этот вопрос.
0
Ответить
Ariel Kogan avatar
флаг cx
Ariel Kogan
У Let's Encrypt есть объявление [страница](https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/) со ссылками на ресурсы.
1
Ответить
Ariel Kogan avatar
флаг cx
Ariel Kogan
Если вы хотите внести меньше изменений и удалить только просроченный сертификат ([обходной путь 1](https://www.openssl.org/blog/blog/2021/09/13/LetsEncryptRootCertExpire/), предложенный OpenSSL), вы можете запустить эти команды: `cp /etc/ca-certificates.conf /etc/ca-certificates.conf.orig` `cat /etc/ca-certificates.conf.orig | sed 's|mozilla/DST_Root_CA_X3.crt|!mozilla//DST_Root_CA_X3.crt|g' > /etc/ca-certificates.conf` `dpkg-reconfigure -fnoninteractive ca-сертификаты`
7
Ответить
флаг jp
Arcobaleno
Комментарий @ArielKogan должен быть правильным ответом.
2
Ответить
alexw avatar
флаг de
alexw
Я испробовал все эти шаги, но все еще получаю сообщение об ошибке «ошибка проверки: число = 20: невозможно получить сертификат локального эмитента», когда я запускаю «openssl s_client» на своем клиентском сервере, пытаясь проверить на другом удаленном сервере.
0
Ответить
флаг ae
jaygooby
@alexw какую версию показывает «версия openssl»?
0
Ответить
alexw avatar
флаг de
alexw
@jaygooby Я обновился до 1.1.1k, и теперь он показывает.По-видимому [это сообщение ожидаемо] (https://community.letsencrypt.org/t/struggling-to-get-new-isrg-root-certificate-to-be-recognized-in-ubuntu-16/163251) , и мне просто пришлось немного подождать, пока сработает альтернативная/короткая цепочка.
0
Ответить
questionto42standswithUkraine avatar
флаг mk
questionto42standswithUkraine
Работает также в Dockerfile (без sudo, добавляйте RUN в начале каждой строки, возможно, добавляйте `WORKDIR/src` после mkdir.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.