DST Root CA X3我正在运行 Debian 10 服务器,由于 LE 的 CA( )几天前已过期,因此我无法再使用 Let's Enccrypt 证书连接到其他机器:
root#> curl -I https://example.com
curl: (60) SSL certificate problem: certificate has expired
我目前所做的:
- 我更新了
ca-certificates软件包 - 我安装
libgnutls-openssl27了libgnutls30 - 我运行了该
update-ca-certificates命令。
但是,服务器无法与目标主机建立可信连接。目标主机上的 LE 证书没有问题,当我curl从任何其他主机触发时,没有出现 SSL 错误。
我该如何解决这个问题并建立可信的 SSL 连接?如能得到任何帮助我将不胜感激,在此先行致谢!
答案1
禁用服务器上的“DST Root CA X3”证书。运行:
sudo dpkg-reconfigure ca-certificates
在第一个提示“信任来自证书颁发机构的新证书吗?”的屏幕上,选择“是”。在下一个屏幕上,按键盘上的向下箭头键,直到找到mozilla/DST_Root_CA_X3.crt,按空格键取消选择它(应该[*]变成[ ]),然后按 Enter。
答案2
中缺少新的 Let's Encrypt CA 的符号链接 CA 证书/etc/ssl/certs,并且已在 中注释掉/etc/ca-certificates.conf。我通过运行以下命令创建它:
cd /etc/ssl/certs && ln -s /usr/share/ca-certificates/mozilla/ISRG_Root_X1.crt ISRG_Root_X1.pem
从那时起一切都运行良好。您dpkg-reconfigure ca-certificates也可以运行来激活它。