ssl - CA 证书仅添加在 ca-bundle-trust.crt
问题描述
环境:
Red Hat Enterprise Linux Server release 7.7 (Maipo)
# openssl version
OpenSSL 1.0.2g 1 Mar 2016
因此使用 OpenSSL 生成自签名证书,并将 cacert.pem 放在/etc/pki/ca-trust/source/anchors/
.
现在根据 man from update-ca-trust
,应该运行 cmd 以将证书添加到信任库中,并且证书将被添加到/etc/pki/ca-trust/extracted/
.
运行上述 cmd 后,我看到证书仅添加到/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt
. 但是像 curl 这样的大多数应用程序都引用了/etc/pki/ca-trust/extracted/openssl/ca-bundle.crt
链接到/etc/pki/tls/certs/ca-bundle.crt
.
curl -v https://172.21.19.92/api
* About to connect() to 172.21.19.92 port 443 (#0)
* Trying 172.21.19.92...
* Connected to 172.21.19.92 (172.21.19.92) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
我知道传递--cacert
选项将是克服它的一种方法,但我想知道为什么update-ca-trust
只更新ca-bundle-trust.crt
而不是ca-bundle.crt
或者 java Keystore 也提取了一个/etc/pki/ca-trust/extracted/java/cacerts
解决方案
导入证书的实际命令/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
是:
/usr/bin/p11-kit extract --format=pem-bundle --filter=ca-anchors --overwrite --comment --purpose server-auth $DEST/pem/tls-ca-bundle.pem
所以这里的过滤器是--filter=ca-anchors
+ --purpose server-auth
。生成证书时,您必须extendedKeyUsage=serverAuth
明确添加目的:
openssl x509 -req -in $SRV_NAME.csr -CA $CA_NAME.crt -CAkey $CA_NAME.key -passin pass:"$PASS" -out $SRV_NAME.crt \
-days 3650 -CAcreateserial \
-extensions v3_ca \
-extfile <(echo "[v3_ca]"; echo "extendedKeyUsage=serverAuth"; echo "subjectAltName=$SRV_DNS_NAMES_TEXT,email:$SRV_EMAIL")
推荐阅读
- c# - 如何在不同的上下文中使用变量?
- c++ - 获取目录的区分大小写的性质
- arduino - MPU-6050 在仅移动一个轴时更改 X 和 Z 轴值
- javascript - 有没有办法用jsPDF使表格单元格的文本居中?
- vba - 如何使用 vba 从 excel 表中创建例如 5 个文件夹?
- python - 未找到密钥:_PYSPARK_DRIVER_CALLBACK_HOST
- javascript - XMLHttpRequest POST 给出媒体文件错误
- spring-security - Spring Boot & Security OAuth2 令牌访问问题
- java - Mockito FindIterable
- arm - Qbs:在构建 arm 目标时运行 googletests