我有一个自签名证书,希望信任它。以传统方式添加它不起作用 - 浏览器和 curl 中仍然出现 SSL 错误。我还应该做什么?Fedora 37 x64。
[aleksandr@fedora ~]$ sudo cp Downloads/localhost.pem /etc/pki/ca-trust/source/anchors/
[aleksandr@fedora ~]$ cat /etc/pki/ca-trust/source/anchors/localhost.pem
-----BEGIN CERTIFICATE-----
MIIDDDCCAfSgAwIBAgIITC1dTII92rYwDQYJKoZIhvcNAQELBQAwFDESMBAGA1UE
...
p8TMthJT6UFci8jxS/MYaQtEKbecxc9edoqN7IZKLv06ly8i5AFiEEbfzqL1HBYJ
...
bQnby+pQjSPhcpVsWzzQpA==
-----END CERTIFICATE-----
[aleksandr@fedora ~]$ sudo update-ca-trust extract
[aleksandr@fedora ~]$ cat /etc/pki/tls/certs/ca-bundle.crt | grep p8TMthJT6UFci8jxS
答案1
事实证明我尝试添加的证书不是 CA。这就是为什么update-ca-trust什么也没做。这可以通过
openssl x509 -in localhost.pem -text -noout输出来检查:
X509v3 基本约束:关键 CA:FALSE