我遇到了一个奇怪的问题,运行 Debian 7 的服务器无法使用 SSL 连接到某些网站。经过调试,结果发现这些网站的根证书不为人所知,因此不受信任。我调试的案例来自 DigiCert “DigiCert 全球根 G2“。
当然,我尝试更新系统并运行sudo update-ca-certificates,但这并没有解决问题。然而,查看 Debian 的 git 存储库,它看起来像ca-certificates 是最新的。事实上,我正在寻找的有没有。
我是不是漏掉了什么?我需要做些什么才能保持最新状态吗?还是说 git 中的版本尚未发布?在这种情况下,我该怎么做才能保持最新状态?我宁愿不手动添加根证书。
更新
sudo apt-cache policy ca-certificates
ca-certificates:
Installed: 20130119+deb7u1
Candidate: 20130119+deb7u2
Version table:
20130119+deb7u2 0
500 http://security.debian.org/ wheezy/updates/main amd64 Packages
*** 20130119+deb7u1 0
500 http://ftp.nl.debian.org/debian/ wheezy/main amd64 Packages
100 /var/lib/dpkg/status
我不太清楚发生了什么,但我在更改源列表后才收到此信息。鉴于它来自 security.debian.org,我担心该存储库之前无法正常工作。
答案1
/etc/ssl/certs您可以尝试使用以下方式刷新证书链接
update-ca-certificates --fresh
它将重做 中的所有符号链接/etc/ssl/certs。如果这没有帮助,让我们看看你的软件包是否是最新的
确保您拥有安全你的 repos/etc/apt/sources.list看起来像这样(根据需要contrib添加)non-free
deb http://security.debian.org/debian-security/ wheezy/updates main
deb http://deb.debian.org/debian/ wheezy-updates main
或者你的情况
deb http://ftp.nl.debian.org/debian-security/ wheezy/updates main
deb http://ftp.nl.debian.org/debian/ wheezy-updates main
然后尝试
apt-get update && apt-get upgrade -y
通过以下方式验证
apt-cache policy ca-certificates
并比较已安装和候选人尽管这是最新版本。
如果您没有看到最新版本,则您的存储库可能已过时。
无关
Debian 有表示自 6.0 以来,LTS 对他们来说实际上意味着什么。
此外,LTS 不是由处理稳定版本安全补丁的 Debian 安全团队完成的,而是由“独立的志愿者小组和感兴趣的公司“。此外,他们似乎在挑选套餐,引用“得到适当支持的软件包数量直接取决于我们获得的支持级别“
据我了解,对于 Wheezy 来说,这意味着由于 Jessie 于 2016 年 4 月 25 日发布,2016 年 4 月 25 日之前,您实际上可以及时获得安全更新和补丁- 尤其是自 Stretch 于 2017 年 6 月 17 日发布以来。
但你可以随时联系他们在此处寻求 LTS 帮助。
答案2
我在仍在运行 Squeeze 的服务器上遇到了同样的问题。我通过手动将所需的根证书添加到文件中解决了该问题/usr/share/ca-certificates/cacert.org/cacert.org.crt:
su -
mkdir -p /usr/share/ca-certificates/cacert.org/
curl https://www.tbs-certificats.com/issuerdata/DigiCert_Global_Root_G2.crt > /usr/share/ca-certificates/cacert.org/cacert.org.crt
update-ca-certificates --fresh
旁注:这不是从其他位置下载的,因为其官方位置在撰写本文时出现了 DNS 问题。
如果这仍然不起作用,那么您可能需要检查/etc/ca-certificates.conf文件的内容。它应该包含引用该文件的条目cacert.org/cacert.org.crt(位于顶部某处)。