CentOS 7-не принимает SSL-сертификаты

у меня проблема на моем CentOS 7 box делает все, что требует SSL, в том числе curl, wget или обновление через YUM.

выход всегда один:

[root@localhost ~]# curl -I -v https://google.com
* About to connect() to google.com port 443 (#0)
*   Trying 74.125.138.100...
* Connected to google.com (74.125.138.100) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* Server certificate:
*       subject: CN=*.google.com,O=Google Inc,L=Mountain View,ST=California,C=US
*       start date: Jun 16 08:37:32 2016 GMT
*       expire date: Sep 08 08:29:00 2016 GMT
*       common name: *.google.com
*       issuer: CN=192.168.2.44,C=US
* NSS error -8172 (SEC_ERROR_UNTRUSTED_ISSUER)
* Peer's certificate issuer has been marked as not trusted by the user.
* Closing connection 0
curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
More details here: http://curl.haxx.se/docs/sslcerts.html

все сертификаты, по-видимому, "помечены как не доверенные" (я пробовал это с десятком разных URL-адресов). Я попробовал reintalling сертификатов делаю это:

yum --disablerepo="epel" reinstall ca-certificates

но это не помогло. Есть идеи?

6
задан Moses
01.05.2023 5:18 Количество просмотров материала 2937
Распечатать страницу

2 ответа

Я бы проверил установку НСС. Возможно, это устарело / каким-то образом повреждено.

проверить текущую версию; последний на CentOS 7 должно быть:

nss-config version
3.21.0

затем проверьте, если какие-либо пакеты nss были изменены / повреждены:

rpm -Vv nss-*

в зависимости от результатов может потребоваться обновление или переустановка nss.

вы можете полу-окончательно увидеть, если это проблема с nss, временно изменив разрешения на этот каталог (как root):

chmod 400 /etc/pki/nssdb/*

затем выполните команду curl как обычный пользователь-если она работает, она выведет что-то вроде этого:

* Connected to google.com (172.217.4.206) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* Unable to initialize NSS database
* Initializing NSS with certpath: none
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* SSL connection using TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
* Server certificate:
<clipped>

, который указывает, что он просто использовал сертификаты CA, а не аутентификацию на основе nssdb.

если это не проблема, связанная с nss, вот RHEL guide это относится и к CentOS, которая гуляет по обеспечению конфигурация чистые Серт. Я не верю, что эта связь позади их платный доступ; дайте мне знать, если вам это нужно, и не можете получить к нему доступ.

2
отвечен Argonauts 2023-05-02 13:06

в какой среде вы используете CentOS7?

есть неприятная ошибка, связанная с Centos 6.8 обновить / NSS 3.21.0-8.el6 в системах с поддержкой виртуализации (Zen) и / или ЦП AES. Я испытал эту проблему после обновления CentOS 6.8 & NSS как на Rackspace, так и на AWS t1.микро экземпляры.

Я считаю, что у вас возникли связанные проблемы с обновлением Centos7 NSS.

https://www.centos.org/forums/viewtopic.php?t=58002

https://bugs.centos.org/view.php?id=10930#c26705

Как проверить, что AES-NI поддерживается моим процессором? https://unix.stackexchange.com/questions/14077/how-to-check-that-aes-ni-is-supported-by-my-cpu

на 6.8 некоторые люди преуспели в понижение NSS путем установки переменной среды: "NSS_DISABLE_HW_GCM=1"

# NSS_DISABLE_HW_AES=1
# yum downgrade nss nss-util nss-tools nss-sysinit
# yum install yum-plugin-versionlock
# yum versionlock add! nss-3.21.0-0.3.el6_7.x86_64 nss-sysinit-3.21.0-0.3.el6_7.x86_64 nss-tools-3.21.0-0.3.el6_7.x86_64 nss-util-3.21.0-0.3.el6_7.x86_64

снова приведенный выше код для 6.8 не CentOS 7

Я нашел nss-3.21.0-0.3.el6_7.x86_64 амортизировано и недоступно. Я перезагрузил весь сервер из резервной копии образа до обновления 6.8, а версия YUM заблокировала nss nss-sysinit nss-tools nss-util перед повторным обновлением.

примечание: Я бы добавил вышеуказанную информацию в качестве "комментария", а не "ответа", но мой низкий рейтинг репутации мешает мне комментируя, я могу только "ответить".

надеюсь, это поможет.

1
отвечен Moto_Nomad 2023-05-02 15:23

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх