Содержание

Skip to end of metadata
Go to start of metadata

Общая информация

Для того, чтобы ОС перестала использовать ранее установленный и ставший нежелательным (просроченный, скомпрометированный) сертификат необходимо:

  • удалить сертификат из хранилища сертификатов. Сертификаты хранятся:
    • файл /etc/ca-certificates.conf - общий список используемых сертификатов;
    • каталог /etc/ssl/certs - индекс ссылок на используемые сертификаты;
    • сами сертификаты обычно хранятся в каталоге /usr/share/ca-certificates/mozilla/, однако могут размещаться и в других каталогах;
  • после удаления сертификата обновить индекс сертификатов командой:

    sudo update-ca-certificates -f -v

Данная статья применима:

  • Astra Linux

Удаление сертификата на примере сертификата Let's Encrypt DST-Root-CA-X3.pem

В качестве примера рассмотрим удаление сертификата DST_Root_CA_X3, имеющего на момент написания статьи истекший срок действия.

Информация о размещении сертификата в ОС:

ls -l /etc/ssl/certs/ | grep DST_Root_CA_X3

lrwxrwxrwx 1 root root     18 окт  7 12:22 2e5ac55d.0 -> DST_Root_CA_X3.pem
lrwxrwxrwx 1 root root     53 окт  7 12:22 DST_Root_CA_X3.pem -> /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt

Содержимое самого сертификата можно проверить командой:

gcr-viewer /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt

Порядок удаления:

  1. Удалить запись о сертификате DST_Root_CA_X3 из общего списка используемых сертификатов в файле /etc/ca-certificates.conf:

    sudo sed -i '/DST_Root_CA_X3/d' /etc/ca-certificates.conf

  2. Удалить ссылку на сертификат из каталога /etc/ssl/certs/:

    sudo rm /etc/ssl/certs/DST_Root_CA_X3.pem

  3. Обновить индекс сертификатов:

    sudo update-ca-certificates -f -v

  • No labels