З моменту коментаря Дена Прітта Red Hat частіше оновлює пакети сертифікатів для підтримуваних релізів RHEL; це ви можете легко побачити в журналі змін. Сертифікати RHEL 6 оновлювались двічі у 2013 році та двічі у 2014 році.
Усі дистрибутивні RHEL та пов'язані з ними / клони / похідні дистрибутивні файли надають пакет файлів у /etc/pki/tls/certs/ca-bundle.crt
, а той самий файл /etc/pki/tls/cert.pem
(у старих дистрибутивах cert.pem
є символьним посиланням на, ca-bundle.crt
а в більш нових дистрибутивах обидва - це посилання на файл, що виводиться update-ca-trust
).
У RHEL 6 та новіших версіях пакет є частиною пакету "ca-сертифікатів". У RHEL 5 та більш ранніх версіях вона є частиною пакету 'openssl'.
У RHEL 6 із оновленням https://rhn.redhat.com/errata/RHEA-2013-1596.html та будь-яким новим RHEL доступна система "спільних системних сертифікатів" (потрібно запустити, update-ca-trust enable
щоб її включити) та найкраща метод полягає в тому, що дано lzap. Перевага цієї системи полягає в тому, що вона працює як для програм NSS, так і для GnuTLS, а також для програм OpenSSL. Зауважте, що ви також можете недовіряти сертифікату, помістивши його в каталог /etc/pki/ca-trust/source/blacklist/
.
У RHEL 5 і пізніших версіях (і RHEL 6, якщо ви не хочете використовувати нову систему), ви можете довіряти додатковим ЦО, розміщуючи їхні файли сертифікатів у форматі PEM з розширенням.pem
в / etc / pki / tls / certs та запускаючи c_rehash
(можливо, також знадобиться yum install /usr/bin/c_rehash
). Це працюватиме лише для програмного забезпечення, яке використовує довірені сховища OpenSSL за замовчуванням. Це краще, ніж редагувати або замінювати файл пакету, оскільки він дозволяє продовжувати отримувати офіційні оновлення файлу пакета.
Програмне забезпечення, яке використовує одне з розташувань файлів пакету безпосередньо (замість того, щоб просити OpenSSL використовувати системні довірені сховища за замовчуванням), не поважатиме ці зміни; якщо у вас є таке програмне забезпечення, ви зациклювались на редагуванні файлу пакету (або вдосконаленні програмного забезпечення). Програмне забезпечення, яке взагалі не використовує OpenSSL, не поважатиме доданий сертифікат.