Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

RHEL 6 および RHEL 7 で信頼されている CA 証明書の一覧をリセットする

Solution Verified - Updated -

Environment

  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7

Issue

  • RHEL 6 または RHEL 7 システムで信頼されている CA 証明書のシステムワイドの一覧をリセットするには

Resolution

root アクセスを持つプロセスが新しい証明書認証 (CA) を、信頼できる CA のシステム全体のデータベースに追加するためのプロセスは簡単です。(サードパーティ提供および RHEL に同梱されている) 多くのアプリケーションが、このデータベースから CA 証明書を読み込みます。(lftpcurlwgetopensslfirefox と名前をつけます。)

以下の手順に従って、データベースにデフォルトの CA だけが含まれていることを確認します。

  1. あとで調査するために、検出された証明書を保存するバックアップディレクトリを作成します。

    ~]# mkdir -p /root/cert.bak
    mkdir: created directory ‘/root/cert.bak’
    
  2. ca-certificates パッケージをリセットし、アップデートします。
    これにより、(たとえば ca-bundle.crt に) 直接カスタマイズした設定が元に戻り、パッケージをアップデートまたは再インストールします。

    ~]# rpm -Vv ca-certificates | awk '$1!="........."&& $2!="d" {system("mv -v " $NF " /root/cert.bak")}'
    `/etc/pki/java/cacerts' -> `/root/cert.bak/cacerts'
    `/etc/pki/tls/certs/ca-bundle.crt' -> `/root/cert.bak/ca-bundle.crt'
    `/etc/pki/tls/certs/ca-bundle.trust.crt' -> `/root/cert.bak/ca-bundle.trust.crt'
    ~]# yum check-update ca-certificates; (($?==100)) && yum update ca-certificates || yum reinstall ca-certificates
    
  3. /etc/pki/ca-trust/source/ ディレクトリと /etc/pki/ca-trust/source/anchors/ ディレクトリの両方には以下の 2 ファイルだけが含まれるようにしてください。
    その他のファイルはバックアップディレクトリに移動します。

    ~]# find /etc/pki/ca-trust/source{,/anchors} -maxdepth 1 -not -type d -exec ls -1 {} +
    /etc/pki/ca-trust/source/ca-bundle.legacy.crt
    /etc/pki/ca-trust/source/README
    
  4. /usr/share/pki/ca-trust-source/ ディレクトリと /usr/share/pki/ca-trust-source/ ディレクトリの両方には以下の 4 ファイルだけが含まれるようにしてください。
    その他のファイルはバックアップディレクトリに移動します。

    ~]# find /usr/share/pki/ca-trust-source{,/anchors} -maxdepth 1 -not -type d -exec ls -1 {} +
    /usr/share/pki/ca-trust-source/ca-bundle.neutral-trust.crt
    /usr/share/pki/ca-trust-source/ca-bundle.supplement.p11-kit
    /usr/share/pki/ca-trust-source/ca-bundle.trust.crt
    /usr/share/pki/ca-trust-source/README
    
  5. update-ca-trust を実行して CA-trust データベースを再構築します。

    • update-ca-trust extract コマンドを実行します。

    • RHEL 6 では、おそらく以下の警告が表示されます。

      update-ca-trust:Warning:The dynamic CA configuration feature is in the disabled state

      これは通常 (デフォルト) の期待された動作で、問題ではありません。
      詳細は update-ca-trust の man ページを参照してください。

  6. (Firefox などの) 一部のアプリケーションでは、ローカルの証明書データベースを保持していることに注意してください。

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.