探讨了Let’sEncrypt根证书“DSTRootCAX3”到期的影响及解决方案,特别是针对依赖默认证书密钥库验证安全URL的嵌入式系统和服务器。
原因
国外论坛说了原因大致是:Let’s Encrypt 's — 一个免费、自动化和开放的证书颁发机构,根证书“DST Root CA X3”已于2021 年 9 月 30 日到期。
对于大多数实际用途而言,这无关紧要,因为 Let’s Encrypt 已经将其证书迁移到“ISRG Root X1”。它与新系统上的 ISRG Root X1 证书链接,而旧系统上的 ISRG Root X1 与 DST Root CA X3 交叉签名。但是,DST Root CA X3 到期会影响依赖与操作系统捆绑的旧可信证书的嵌入式系统和服务器。
lynx或curl依赖默认证书密钥库来信任安全 URL,如果证书尚未更新,它将在 2021 年 9 月 30 日之后开始失败,并收到类似于以下内容的错误:
curl: (60) The certificate issuer's certificate has expired. Check your system date and time.
OR
server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none
解决办法
centos
sudo yum install ca-certificates
sudo update-ca-trust extract
Debian
sudo apt-get install --reinstall ca-certificates
PS:如果yum之前清了缓存,更新不了,下面有一个方案,一般不推荐使用
暂时关闭SSL检查认证
sudo vi /etc/yum.conf
在编辑器上添加一行
sslverify=false
在关闭认证后,可以正常使用yum更新包,注意更新完成后将这行去掉,
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
