înregistrare Logare
Puncte:11
avatar Ubuntu

Cum se instalează cele mai recente certificate ca pe Ubuntu 14

drapel sm
user1389892

Am o instalare Ubuntu 14.04.5 LTS. De curând, a devenit incapabil să verifice certificatele moderne Let's Encrypt. Versiunea actuală a ca-certificate este 20160104ubuntu0.14.04.1. apt search ca-certificate îmi spune că pachetul poate fi actualizat la 20170717~14.04.2 din actualizări de încredere, dar cred că probabil că nu este suficient de modern.

Înțeleg ca-certificate versiune 20210119~18.04.2 în bionic-actualizări. Este posibil să instalați acest lucru fără a întrerupe sistemul? Există o cale mai bună? Mulțumiri.

5753
0 + 0
ssl
drapel in
matigo
Din păcate, 14.04 nu este acceptat pe acest site. Dacă aveți [ESM cu Canonical](https://ubuntu.com/blog/ubuntu-14-04-and-16-04-lifecycle-extended-to-ten-years), atunci s-ar putea să vă ofere o informație precisă Răspuns
2
Răspunde
guiverc avatar
drapel cn
guiverc
Numai versiunile acceptate ale Ubuntu (*asistență standard sau publică*) sunt la subiect pentru acest site. Ubuntu 14.04 LTS este EOL (*sfârșitul vieții*), deci off-topic, iar Ubuntu 14.04 ESM este în suport *extins* și este acceptat numai de Canonical prin Ubuntu Advantage, prin urmare și aici. Consultați https://askubuntu.com/help/on-topic https://help.ubuntu.com/community/EOLUpgrades https://fridge.ubuntu.com/2019/05/02/ubuntu-14-04-trusty-tahr-reached-end-of-life-on-april-25-2019-esm-available/
2
Răspunde
Puncte:11
avatar Ubuntu
drapel ae
jaygooby

Puteți instala cele mai recente certificate stabile de la sursă (veți avea nevoie de un wget și unxz sau cel puțin o modalitate de a copia fișierul .tar necomprimat sau conținutul acestuia pe serverul țintă (poate doar scp -r odată ce l-ați extras local):

# Asigurați dependențe
sudo apt -y install make tar xz-utils wget

# Faceți un loc în care să-l construiți
mkdir -p ~/src
cd ~/src
wget https://launchpad.net/ubuntu/+archive/primary/+sourcefiles/ca-certificates/20210119~20.04.2/ca-certificates_20210119~20.04.2.tar.xz    
tar -xJf ca-certificates_20210119~20.04.2.tar.xz

#Â Acum construiți și instalați
cd ca-certificates-20210119~20.04.1
face
sudo make install

# Poate doriți să rulați acest lucru în mod interactiv pentru a vă asigura
# puteți selecta ISRG Root X1
# în acest caz, rulați: sudo dpkg-reconfigure ca-certificates
sudo dpkg-reconfigure -fnoninteractive ca-certificates
sudo update-ca-certificates
/usr/bin/c_rehash /etc/ssl/certs
0 + 0
drapel cg
Daniel Buckmaster
Am trecut prin asta și a generat o mulțime de certificate noi în `/usr/share/ca-certificates/mozilla`, precum și `/etc/ssl/certs/ca-certificates.crt`. Dar `curl` încă nu reușește să valideze certificatele, chiar și cu `--cacert /etc/ssl/certs/ca-certificates.crt`
0
Răspunde
drapel sm
user1389892
Acest răspuns a fost de mare ajutor. Mai întâi, în `sbin/update-ca-certificates`, a trebuit să schimb `openssl rehash` în `c_rehash` (am studiat o versiune mai veche a `ca-certificates`). De asemenea, a trebuit să fac `dpkg-reconfigure ca-certificates` (interactiv) pentru a activa certificatele Let's Encrypt ISRG X1. Apoi am făcut `update-ca-certificates --fresh --verbose`. Asigurați-vă că `/etc/ssl/certs` are câteva legături simbolice `ISRG Root X1`.
2
Răspunde
drapel ae
jaygooby
@daniel-buckmaster; verificați câteva lucruri... Aveți `ls -l /etc/ssl/certs/ISRG_Root_X1.pem` dacă nu aveți, atunci încercați `dpkg-reconfigure` interactiv sugerat mai sus. Dacă o faceți, asigurați-vă că *nu* aveți `/etc/ssl/certs/DST_Root_CA_X3.pem` (certificatul expirat) - din nou îl puteți deselecta interactiv în `dpkg-reconfigure ca-certificates`. Ce bibliotecă openssl folosește curl? Rulați `curl -V` și vă va arăta.Sper că este un 1.0.x ca „OpenSSL/1.0.1f” și nu un „OpenSSL/0.9.7”
1
Răspunde
drapel de
ttk
Am urmat toți pașii de mai sus, dar `curl` încă se plângea. În cazul meu, comanda `openssl c_rehash` a eșuat în scriptul `update-ca-certificates`. Am încercat să forțez reinstalarea pachetului apt `openssl`, dar asta nu a ajutat. Ceea ce mi-a rezolvat în cele din urmă problema este `cd /etc/ssl/certs`, apoi rulează direct scriptul de rehash: `/usr/bin/c_rehash`.
1
Răspunde
Ariel Kogan avatar
drapel cx
Ariel Kogan
Mulțumesc @user1389892 pentru această întrebare.
0
Răspunde
Ariel Kogan avatar
drapel cx
Ariel Kogan
Let's Encrypt are un anunț [pagina](https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/) cu linkuri către resurse.
1
Răspunde
Ariel Kogan avatar
drapel cx
Ariel Kogan
Dacă doriți să faceți mai puține modificări și să eliminați doar certificatul expirat ([soluția 1](https://www.openssl.org/blog/blog/2021/09/13/LetsEncryptRootCertExpire/) sugerat de OpenSSL), puteți rula aceste comenzi: `cp /etc/ca-certificates.conf /etc/ca-certificates.conf.orig` `cat /etc/ca-certificates.conf.orig | sed 's|mozilla/DST_Root_CA_X3.crt|!mozilla//DST_Root_CA_X3.crt|g' > /etc/ca-certificates.conf` `dpkg-reconfigure -fnoninteractive ca-certificates`
7
Răspunde
drapel jp
Arcobaleno
Comentariul lui @ArielKogan ar trebui să fie un răspuns valid.
2
Răspunde
alexw avatar
drapel de
alexw
Am încercat toți acești pași, dar încă primesc o eroare `verify error:num=20:unable to get local issuer certificate` când rulez `openssl s_client` pe serverul meu client, încercând să verific cu un alt server la distanță.
0
Răspunde
drapel ae
jaygooby
@alexw ce versiune arată `openssl version`?
0
Răspunde
alexw avatar
drapel de
alexw
@jaygooby Am făcut upgrade la 1.1.1k, ceea ce arată acum.Se pare că [acest mesaj este de așteptat](https://community.letsencrypt.org/t/struggling-to-get-new-isrg-root-certificate-to-be-recognized-in-ubuntu-16/163251) , și a trebuit doar să aștept puțin pentru ca lanțul alternativ/scurt să intre.
0
Răspunde
questionto42standswithUkraine avatar
drapel mk
questionto42standswithUkraine
Funcționează și într-un fișier Docker (fără sudo, adăugați RUN la fiecare început de linie, poate adăugați `WORKDIR /src` după mkdir.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.