Translated message

A translation of this page exists in English.

RHEL 6 以降で信頼済み CA 証明書リストをリセットする方法

Solution Verified - Updated -

Environment

  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7
  • Red Hat Enterprise Linux 8
  • Red Hat Enterprise Linux 9

Issue

  • RHEL 6 以降でシステム全体の信頼済み CA 証明書リストをリセットするにはどうすればよいですか?

Resolution

root アクセス権を持つプロセスは、新しい認証局 (CA) 証明書を、システム全体の信頼済み CA のデータベースに簡単に追加できます。多くのアプリケーションはサードパーティー製で、RHEL に同梱されており、このデータベースから CA 証明書を読み取ります。(いくつか例を挙げると、lftpcurlwgetopensslfirefox などです。)

データベースにデフォルトの CA のみが含まれるようにするには、次の手順に従ってください。

  1. 後で検査できるように、見つかった証明書を保存するためのバックアップディレクトリーを作成します。

    ~]# mkdir -p /root/cert.bak
mkdir: created directory ‘/root/cert.bak’

  2. ca-certificates パッケージをリセットして更新します。
    これにより、直接的なカスタマイズ (例: ca-bundle.crt) が元に戻り、パッケージが更新または再インストールされます。

    ~]# rpm -Vv ca-certificates | awk '$1!="........." && $2!="d" {system("mv -v " $NF " /root/cert.bak")}'
`/etc/pki/java/cacerts' -> `/root/cert.bak/cacerts'
`/etc/pki/tls/certs/ca-bundle.crt' -> `/root/cert.bak/ca-bundle.crt'
`/etc/pki/tls/certs/ca-bundle.trust.crt' -> `/root/cert.bak/ca-bundle.trust.crt'
~]# yum check-update ca-certificates; (($?==100)) && yum update ca-certificates || yum reinstall ca-certificates

  3. /etc/pki/ca-trust/source/ および /etc/pki/ca-trust/source/anchors/ ディレクトリーに、次の 2 つのファイルのみが含まれていることを確認します。
    その他のファイルはバックアップディレクトリーに移動します。

    ~]# find /etc/pki/ca-trust/source{,/anchors} -maxdepth 1 -not -type d -exec ls -1 {} +
/etc/pki/ca-trust/source/ca-bundle.legacy.crt
/etc/pki/ca-trust/source/README

  4. /usr/share/pki/ca-trust-source/ および /usr/share/pki/ca-trust-source/anchors/ ディレクトリーに、以下の 4 つのファイルのみが含まれていることを確認します (ただし、RHEL 7.4 以降では、そのうち 2 つしか含まれません)。
    その他のファイルはバックアップディレクトリーに移動します。

    ~]# find /usr/share/pki/ca-trust-source{,/anchors} -maxdepth 1 -not -type d -exec ls -1 {} +
/usr/share/pki/ca-trust-source/ca-bundle.neutral-trust.crt
/usr/share/pki/ca-trust-source/ca-bundle.supplement.p11-kit
/usr/share/pki/ca-trust-source/ca-bundle.trust.crt
/usr/share/pki/ca-trust-source/README

  5. update-ca-trust を使用して CA 信頼データベースを再構築します。

    • update-ca-trust extract を実行します。

    • RHEL 6: 次の警告が表示される可能性が非常に高いです。

      update-ca-trust: Warning: The dynamic CA configuration feature is in the disabled state

      これは正常 (デフォルト) であり、予想される動作で問題ありません。
      必要に応じて、update-ca-trust の man ページで詳細を確認してください。

  6. 一部のアプリケーション (Firefox など) は独自のローカル証明書データベースを保持していることに注意してください。

Root Cause

Diagnostic Steps

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.

Comments