Пошаговая инструкция как сбросить общесистемный список доверенных сертификатов. Многие приложения - как сторонние, так и поставляемые в CentOS - читают сертификаты CA из базы данных.
Создайте директорию для резервной копии сертификатов
1 | mkdir -p /root/cert.bak |
Переустановка и обновление пакета ca-certificates
Это отменит любые прямые настройки (например, в ca-bundle.crt) и обновит или переустановит пакет.
1 2 | rpm -Vv ca-certificates | awk '$1!="........." && $2!="d" {system("mv -v " $NF " /root/cert.bak")}' yum check-update ca-certificates; (($?==100)) && yum update ca-certificates || yum reinstall ca-certificates |
Убедитесь, что каталоги /etc/pki/ca-trust/source/ и /etc/pki/ca-trust/source/anchors/ содержат только следующие 2 файла:
- /etc/pki/ca-trust/source/ca-bundle.legacy.crt
- /etc/pki/ca-trust/source/README
Переместите все остальные файлы в каталог для резервных копий
1 | find /etc/pki/ca-trust/source{,/anchors} -maxdepth 1 -not -type d -exec ls -1 {} + |
Убедитесь, что каталоги /usr/share/pki/ca-trust-source/ и /usr/share/pki/ca-trust-source/ содержат не более 2 следующих файла:
- /usr/share/pki/ca-trust-source/ca-bundle.trust.p11-kit
- /usr/share/pki/ca-trust-source/README
Переместите все остальные файлы в каталог для резервных копий
1 | find /usr/share/pki/ca-trust-source{,/anchors} -maxdepth 1 -not -type d -exec ls -1 {} + |
Перестройте базу данных CA-trust с помощью update-ca-trust
Выполните:
1 | update-ca-trust extract |
Обратите внимание, что некоторые приложения (например, Firefox), хранят свою собственную локальную базу данных сертификатов.