Общая информация
Для того, чтобы ОС перестала использовать ранее установленный и ставший нежелательным (просроченный, скомпрометированный) сертификат необходимо:
- удалить сертификат из хранилища сертификатов. Сертификаты хранятся:
- файл /etc/ca-certificates.conf - общий список используемых сертификатов;
- каталог /etc/ssl/certs - индекс ссылок на используемые сертификаты;
- сами сертификаты обычно хранятся в каталоге /usr/share/ca-certificates/mozilla/, однако могут размещаться и в других каталогах;
после удаления сертификата обновить индекс сертификатов командой:
sudo update-ca-certificates -f -v
Данная статья применима:
- Astra Linux
Удаление сертификата на примере сертификата Let's Encrypt DST-Root-CA-X3.pem
В качестве примера рассмотрим удаление сертификата DST_Root_CA_X3, имеющего на момент написания статьи истекший срок действия.
Информация о размещении сертификата в ОС:
ls -l /etc/ssl/certs/ | grep DST_Root_CA_X3
lrwxrwxrwx 1 root root 18 окт 7 12:22 2e5ac55d.0 -> DST_Root_CA_X3.pem
lrwxrwxrwx 1 root root 53 окт 7 12:22 DST_Root_CA_X3.pem -> /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt
Содержимое самого сертификата можно проверить командой: lrwxrwxrwx 1 root root 18 окт 7 12:22 2e5ac55d.0 -> DST_Root_CA_X3.pem
lrwxrwxrwx 1 root root 53 окт 7 12:22 DST_Root_CA_X3.pem -> /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt
gcr-viewer /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt
Порядок удаления:
Удалить запись о сертификате DST_Root_CA_X3 из общего списка используемых сертификатов в файле /etc/ca-certificates.conf:
sudo sed -i '/DST_Root_CA_X3/d' /etc/ca-certificates.confУдалить ссылку на сертификат из каталога /etc/ssl/certs/:
sudo rm /etc/ssl/certs/DST_Root_CA_X3.pemОбновить индекс сертификатов:
sudo update-ca-certificates -f -v