ตั้งแต่ความคิดเห็นของ Dan Pritts Red Hat ได้ทำการอัพเดตบันเดิลใบรับรองสำหรับ RHEL ที่สนับสนุนออกบ่อยกว่า คุณสามารถเห็นสิ่งนี้ได้อย่างง่ายดายในการเปลี่ยนแปลงแพ็คเกจ ใบรับรองของ RHEL 6 ได้รับการอัปเดตสองครั้งในปี 2013 และสองครั้งในปี 2014
RHEL ทั้งหมดและ / clone / distros ที่เกี่ยวข้องจัดเตรียมไฟล์บันเดิลที่/etc/pki/tls/certs/ca-bundle.crt
และไฟล์เดียวกันที่/etc/pki/tls/cert.pem
(ใน distros ที่เก่ากว่าcert.pem
คือ symlink ไปca-bundle.crt
; บน distros ที่ใหม่กว่าทั้งสองเป็น symlink ไปยังไฟล์ที่ส่งออกโดยupdate-ca-trust
)
ใน RHEL 6 และใหม่กว่านั้นบันเดิลเป็นส่วนหนึ่งของแพ็คเกจ 'ใบรับรอง ca' ใน RHEL 5 และก่อนหน้านั้นเป็นส่วนหนึ่งของแพ็คเกจ 'openssl'
ใน RHEL 6 พร้อมอัปเดตhttps://rhn.redhat.com/errata/RHEA-2013-1596.htmlและ RHEL รุ่นใหม่ใด ๆ ระบบ 'ใบรับรองระบบที่ใช้ร่วมกัน' จะพร้อมใช้งาน (คุณต้องเรียกใช้update-ca-trust enable
เพื่อเปิดใช้งาน) และดีที่สุด วิธีการที่ได้รับจาก lzap ข้อดีของระบบนี้คือทำงานได้กับแอพพลิเคชั่นที่ใช้ NSS และ GnuTLS รวมถึงแอพพลิเคชั่นที่ใช้ OpenSSL /etc/pki/ca-trust/source/blacklist/
โปรดทราบว่าคุณยังสามารถไว้วางใจใบรับรองโดยวางไว้ในไดเรกทอรี
ใน RHEL 5 ขึ้นไป (และ RHEL 6 หากคุณไม่ต้องการใช้ระบบใหม่) คุณสามารถเชื่อถือ CA เพิ่มเติมได้โดยการวางไฟล์ใบรับรองที่จัดรูปแบบ PEM ด้วยส่วนขยาย.pem
ใน / etc / pki / tls / certs และเรียกใช้c_rehash
(อาจต้องการyum install /usr/bin/c_rehash
) สิ่งนี้จะใช้ได้กับซอฟต์แวร์ที่ใช้ร้านค้าที่เชื่อถือได้เริ่มต้นของ OpenSSL เท่านั้น สิ่งนี้ดีกว่าการแก้ไขหรือแทนที่ไฟล์บันเดิลเพราะจะช่วยให้คุณได้รับการอัพเดตอย่างเป็นทางการในไฟล์บันเดิล
ซอฟต์แวร์ที่ใช้หนึ่งในตำแหน่งไฟล์บันเดิลโดยตรง (แทนที่จะขอให้ OpenSSL ใช้ร้านค้าที่เชื่อถือได้เริ่มต้นของระบบ) จะไม่เคารพการเปลี่ยนแปลง หากคุณมีซอฟต์แวร์ดังกล่าวคุณกำลังแก้ไขไฟล์บันเดิลอยู่ (หรือปรับปรุงซอฟต์แวร์) ซอฟต์แวร์ที่ไม่ได้ใช้ OpenSSL เลยจะไม่เคารพใบรับรองที่เพิ่มเข้ามา