Общая информация
Для того, чтобы ОС перестала использовать ранее установленный и ставший нежелательным (просроченный, скомпрометированный) сертификат необходимо:
- Удалить сертификат из хранилища сертификатов. Сертификаты и информация о них хранятся в следующих локациях:
- файл
/etc/ca-certificates.conf— общий список используемых сертификатов; - каталог
/etc/ssl/certs— индекс ссылок на используемые сертификаты; - сами сертификаты обычно хранятся в каталоге
/usr/share/ca-certificates/mozilla/, однако могут размещаться и в других каталогах.
- файл
После удаления файл сертификата обновить индекс сертификатов командой:
sudo update-ca-certificates -f -v
Данная статья применима:
- Astra Linux
Удаление сертификата на примере сертификата Let's Encrypt DST-Root-CA-X3.pem
В качестве примера рассмотрим удаление сертификата DST_Root_CA_X3, имеющего на момент написания статьи истекший срок действия. Информация о размещении сертификата в ОС:
ls -l /etc/ssl/certs/ | grep DST_Root_CA_X3
lrwxrwxrwx 1 root root 18 окт 7 12:22 2e5ac55d.0 -> DST_Root_CA_X3.pem
lrwxrwxrwx 1 root root 53 окт 7 12:22 DST_Root_CA_X3.pem -> /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt
Содержимое самого сертификата можно проверить командой:lrwxrwxrwx 1 root root 18 окт 7 12:22 2e5ac55d.0 -> DST_Root_CA_X3.pem
lrwxrwxrwx 1 root root 53 окт 7 12:22 DST_Root_CA_X3.pem -> /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt
gcr-viewer /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt
Порядок удаления:
Удалить запись о сертификате DST_Root_CA_X3 из общего списка используемых сертификатов в файле /etc/ca-certificates.conf:
sudo sed -i '/DST_Root_CA_X3/d' /etc/ca-certificates.confУдалить ссылку на сертификат из каталога /etc/ssl/certs/:
sudo rm /etc/ssl/certs/DST_Root_CA_X3.pemОбновить индекс сертификатов:
sudo update-ca-certificates -f -v