Dan Pritts의 의견 이후 Red Hat은 지원되는 RHEL 릴리즈에 대한 인증서 번들을 더 자주 업데이트하고 있습니다. 패키지 변경 로그에서 이것을 쉽게 볼 수 있습니다. RHEL 6의 인증서는 2013 년에 두 번, 2014 년에 두 번 업데이트되었습니다.
모든 RHEL 및 관련 / 복제 / 파생 배포판은에 번들 파일을 제공 /etc/pki/tls/certs/ca-bundle.crt
하고에 동일한 파일이 있습니다 /etc/pki/tls/cert.pem
(이전 배포판의 cert.pem
경우 심볼릭 링크입니다 ca-bundle.crt
. 최신 배포판의 파일 형식은 심볼릭 링크입니다 update-ca-trust
).
RHEL 6 이상에서 번들은 'ca-certificates'패키지의 일부입니다. RHEL 5 이하에서는 'openssl'패키지의 일부입니다.
업데이트 https://rhn.redhat.com/errata/RHEA-2013-1596.html 및 최신 RHEL 이 포함 된 RHEL 6 에서 '공유 시스템 인증서'시스템을 사용할 수 있으며 ( update-ca-trust enable
활성화 하려면 실행해야 함) 방법은 lzap에서 제공 한 방법입니다. 이 시스템의 장점은 OpenSSL 기반 응용 프로그램뿐만 아니라 NSS 및 GnuTLS 기반 응용 프로그램에서도 작동한다는 것입니다. 디렉토리에 인증서를 배치하여 인증서를 신뢰할 수 없음에 유의하십시오 /etc/pki/ca-trust/source/blacklist/
.
RHEL 5 이상 (및 새 시스템을 사용하지 않으려는 경우 RHEL 6) 에서는 / etc / pki / tls / certs에 확장자가.pem
있는 PEM 형식의 인증서 파일 을 배치하고 실행하여 추가 CA를 신뢰할 c_rehash
수 있습니다 (필요할 수도 있음). yum install /usr/bin/c_rehash
). 이것은 OpenSSL의 기본 신뢰 저장소를 사용하는 소프트웨어에서만 작동합니다. 번들 파일에 대한 공식 업데이트를 계속받을 수 있으므로 번들 파일을 편집하거나 바꾸는 것보다 낫습니다.
OpenSSL에 시스템 기본 신뢰 저장소를 사용하도록 요청하지 않고 번들 파일 위치 중 하나를 직접 사용하는 소프트웨어는 변경 사항을 존중하지 않습니다. 이러한 소프트웨어가있는 경우 번들 파일 편집 (또는 소프트웨어 개선)이 중단됩니다. OpenSSL을 전혀 사용하지 않는 소프트웨어는 추가 된 인증서를 존중하지 않습니다.