我有几个 Redhat 6 服务器无法验证 HTTPS 站点的证书。我检查过,它们似乎没有最新的 CA 包。该文件/etc/pki/tls/certs/ca-bundle.crt上次修改于 2010 年。我通过执行 来检查哪个软件包负责更新此文件rpm -qf /etc/pki/tls/certs/ca-bundle.crt,看来它是ca-certificates软件包的一部分。我试过了yum install ca-certificates,最新版本已经安装。是否有包含较新 CA 包的 Redhat 6 软件包?
答案1
没有。我建议使用http://curl.haxx.se/ca/cacert.pem并制作一个 rpm(使用 fpm 轻松完成)或使用您的配置管理系统进行分发。
答案2
自从 Mark 的回答发布以来,我们 (RH) 已开始更积极地更新发行包,并引入了用于管理信任存储的改进系统。RHEL 6 的 ca 证书在 2013 年 10 月和 12 月以及 2014 年 7 月和 8 月进行了更新,并将在适当的时候进行进一步更新。man update-ca-trust更新到最新版本的软件包后,请参阅有关新系统的详细信息。