После добавления репозитория ntopng в давно установленный и стабильно работающий Centos 7 система выдала такую ошибку. https://packages.ntop.org/centos-stable/7/x86_64/repodata/repomd.xml: [Errno 14] curl#60 — «The certificate issuer’s certificate has expired. Check your system date and time.»
После проверки даты и времени вспомнились сентябрьские новости 2021 года: «30 сентября 2021 14:01:15 GMT оканчивается срок действия корневого сертификата IdenTrust DST Root CA X3.»
Там же, на Хабре есть полное описание решения проблемы. Я пишу чисто для себя, чтоб не искать, когда в очередной раз приспичит, только с уклоном в сторону Centos 7.
Берем с Хабра готовый скрипт проверки.
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-bundle.crt | grep "ISRG Root X1"
Запускаем и убеждаемся в отсутствии правильной записи в выводе
(subject= /C=US/O=Internet Security Research Group/CN=ISRG Root X1)
Посмотрим на пакеты сертификатов.
rpm -qa|grep ca-certificates
|
1 |
ca-certificates-2015.2.4-71.el7.noarch |
yum info ca-certificates
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 |
Загружены модули: fastestmirror, langpacks Repodata is over 2 weeks old. Install yum-cron? Or run: yum makecache fast Determining fastest mirrors * base: mirror.reconn.ru * epel: mirror.yandex.ru * extras: mirror.reconn.ru * updates: mirrors.nxthost.com Установленные пакеты Название: ca-certificates Архитектура: noarch Версия: 2015.2.4 Выпуск: 71.el7 Объем: 1.1 M Источник: installed Из источника: base Аннотация: The Mozilla CA root certificate bundle Ссылка: http://www.mozilla.org/ Лицензия: Public Domain Описание: This package contains the set of CA certificates chosen by the : Mozilla Foundation for use with the Internet PKI. Доступные пакеты Название: ca-certificates Архитектура: noarch Версия: 2021.2.50 Выпуск: 72.el7_9 Объем: 379 k Источник: updates/7/x86_64 Аннотация: The Mozilla CA root certificate bundle Ссылка: http://www.mozilla.org/ Лицензия: Public Domain Описание: This package contains the set of CA certificates chosen by the : Mozilla Foundation for use with the Internet PKI. |
Догадаться не сложно, что пакет от 2015 года нужно обновить до пакета 2021 года
yum -y update ca-certificates
После запустим проверочный скрипт
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-bundle.crt | grep "ISRG Root X1"
В выводе видим вожделенную строку
|
1 |
subject= /C=US/O=Internet Security Research Group/CN=ISRG Root X1 |
Кстати, всё это справедливо и для устаревшего Centos 6. Правда там пакеты будут 2018 года и, возможно, 2020 года. Поэтому можно после обновления пакета, на всякий случай, обновить сертификат принудительно.
update-ca-trust force-enable
update-ca-trust check
|
1 2 3 4 5 6 |
PEM/JAVA Status: ENABLED. (Legacy filenames are links to files produced by update-ca-trust.) PKCS#11 module Status, see symbolic links reported below: lrwxrwxrwx 1 root root 32 Янв 18 15:17 /etc/alternatives/libnssckbi.so -> /usr/lib/pkcs11/p11-kit-trust.so (link resolving to NSS: using legacy static list) (link resolving to p11-kit: using the new source configuration) |
И не забываем про проверочный скрипт
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-bundle.crt | grep "ISRG Root X1"
|
1 |
subject= /C=US/O=Internet Security Research Group/CN=ISRG Root X1 |