RHEL 6 および RHEL 7 で信頼されている CA 証明書の一覧をリセットする
Environment
- Red Hat Enterprise Linux 6
- Red Hat Enterprise Linux 7
Issue
- RHEL 6 または RHEL 7 システムで信頼されている CA 証明書のシステムワイドの一覧をリセットするには
Resolution
root アクセスを持つプロセスが新しい証明書認証 (CA) を、信頼できる CA のシステム全体のデータベースに追加するためのプロセスは簡単です。(サードパーティ提供および RHEL に同梱されている) 多くのアプリケーションが、このデータベースから CA 証明書を読み込みます。(lftp、curl、wget、openssl、firefox と名前をつけます。)
以下の手順に従って、データベースにデフォルトの CA だけが含まれていることを確認します。
-
あとで調査するために、検出された証明書を保存するバックアップディレクトリを作成します。
~]# mkdir -p /root/cert.bak mkdir: created directory ‘/root/cert.bak’
-
ca-certificatesパッケージをリセットし、アップデートします。
これにより、(たとえばca-bundle.crtに) 直接カスタマイズした設定が元に戻り、パッケージをアップデートまたは再インストールします。~]# rpm -Vv ca-certificates | awk '$1!="........."&& $2!="d" {system("mv -v " $NF " /root/cert.bak")}' `/etc/pki/java/cacerts' -> `/root/cert.bak/cacerts' `/etc/pki/tls/certs/ca-bundle.crt' -> `/root/cert.bak/ca-bundle.crt' `/etc/pki/tls/certs/ca-bundle.trust.crt' -> `/root/cert.bak/ca-bundle.trust.crt' ~]# yum check-update ca-certificates; (($?==100)) && yum update ca-certificates || yum reinstall ca-certificates -
/etc/pki/ca-trust/source/ディレクトリと/etc/pki/ca-trust/source/anchors/ディレクトリの両方には以下の 2 ファイルだけが含まれるようにしてください。
その他のファイルはバックアップディレクトリに移動します。~]# find /etc/pki/ca-trust/source{,/anchors} -maxdepth 1 -not -type d -exec ls -1 {} + /etc/pki/ca-trust/source/ca-bundle.legacy.crt /etc/pki/ca-trust/source/README -
/usr/share/pki/ca-trust-source/ディレクトリと/usr/share/pki/ca-trust-source/ディレクトリの両方には以下の 4 ファイルだけが含まれるようにしてください。
その他のファイルはバックアップディレクトリに移動します。~]# find /usr/share/pki/ca-trust-source{,/anchors} -maxdepth 1 -not -type d -exec ls -1 {} + /usr/share/pki/ca-trust-source/ca-bundle.neutral-trust.crt /usr/share/pki/ca-trust-source/ca-bundle.supplement.p11-kit /usr/share/pki/ca-trust-source/ca-bundle.trust.crt /usr/share/pki/ca-trust-source/README -
update-ca-trustを実行して CA-trust データベースを再構築します。-
update-ca-trust extractコマンドを実行します。 -
RHEL 6 では、おそらく以下の警告が表示されます。
update-ca-trust:Warning:The dynamic CA configuration feature is in the disabled state
これは通常 (デフォルト) の期待された動作で、問題ではありません。
詳細はupdate-ca-trustの man ページを参照してください。
-
-
(Firefox などの) 一部のアプリケーションでは、ローカルの証明書データベースを保持していることに注意してください。
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments