ตำแหน่ง CA Cert Bundle เริ่มต้น

ฉันต้องเพิ่มไฟล์. pem cert ให้กับชุดใบรับรอง CA เริ่มต้นของฉัน แต่ฉันไม่ทราบว่าเก็บชุดใบรับรอง CA Cert เริ่มต้นไว้ที่ใด

ฉันต้องการผนวกไฟล์. pem ใหม่ของฉันลงในชุดข้อมูลเริ่มต้นนี้ ฉันอยากทำมากกว่าระบุสถานที่ของตัวเองโดยใช้ --capath

cURL รู้ได้อย่างชัดเจนว่าจะมองที่ไหน แต่ฉันไม่เห็นคำสั่ง cURL ใด ๆ ที่เปิดเผยตำแหน่ง มีคำสั่งที่จะเปิดเผยตำแหน่งนี้หรือไม่? ฉันจะหามันได้อย่างไร

ตามที่ cURL:
เพิ่มใบรับรอง CA สำหรับเซิร์ฟเวอร์ของคุณไปยังชุดใบรับรอง CA เริ่มต้นที่มีอยู่ เส้นทางเริ่มต้นของชุดข้อมูล CA ที่ใช้สามารถเปลี่ยนแปลงได้โดยการรันการกำหนดค่าด้วยตัวเลือก --with-ca-bundle ซึ่งระบุเส้นทางที่คุณเลือก

ขอบคุณ

ทำงานcurlด้วยstraceอาจทำให้คุณมีเงื่อนงำ

strace curl https://www.google.com | & grep open

ผลผลิตมาก แต่ใกล้ถึงจุดสิ้นสุดฉันเห็น:

open ("/ etc / ssl / certs / 578d5c04.0", O_RDONLY) = 4

ที่เก็บใบรับรองของฉัน

ควรมีโปรแกรม 'curl-config' ใน 'bin /' ของ curl นั่นคือตำแหน่งที่ 'curl' อยู่ในไบนารี

./curl-config --ca

ให้เส้นทางการติดตั้ง ca bundle

ฉันเพิ่งทำ whatis curl-config: "รับข้อมูลเกี่ยวกับการติดตั้ง libcurl" ดังนั้นฉันเดาว่ามันจะใช้ได้เฉพาะเมื่อติดตั้ง libcurl ซึ่งฉันคิดว่าเป็นมาตรฐาน

ผมพบว่าวิธีที่ง่าย: ใช้--cacertกับผิดชื่อไฟล์ที่ส่งออกจะแสดงเส้นทาง

ตัวอย่าง:

~$ curl --cacert non_existing_file https://www.google.com
curl: (77) error setting certificate verify locations:
  CAfile: non_existing_file
  CApath: /etc/ssl/certs

Linux (Ubuntu, Debian)

คัดลอก CA ของคุณไปยัง dir / usr / local / share / ca-certificate /

sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt

อัปเดตร้านค้า CA

sudo update-ca-certificates

ลบ CA ของคุณและอัปเดตที่เก็บ CA:

sudo update-ca-certificates --fresh

Linux (CentOs 6)

ติดตั้งแพ็คเกจใบรับรอง CA:

yum install ca-certificates

เปิดใช้งานคุณลักษณะการกำหนดค่า CA แบบไดนามิก: update-ca-trust แรงเปิดใช้งานเพิ่มเป็นไฟล์ใหม่เพื่อ/etc/pki/ca-trust/source/anchors/:

cp foo.crt /etc/pki/ca-trust/source/anchors/
update-ca-trust extract

Linux (CentOs 5)

ผนวกใบรับรองที่เชื่อถือได้ของคุณไปยังไฟล์ /etc/pki/tls/certs/ca-bundle.crt

cat foo.crt >>/etc/pki/tls/certs/ca-bundle.crt

https://manuals.gfi.com/th/kerio/connect/content/server-configuration/ssl-certificates/adding-trusted-root-certificates-to-the-server-1605.htmlลิงก์ที่ดีมากซึ่งอธิบาย วิธีเพิ่มลงในระบบปฏิบัติการยอดนิยมหลายระบบ

คุณสามารถดาวน์โหลดบันเดิลใบรับรอง CA Root จากhaxx.seซึ่งเป็นผู้สร้าง curl จากนั้นเพียงแค่เพิ่มใบรับรองของคุณใน. pem ของพวกเขาและอ้างถึงมันเมื่อใช้ curl กับตัวเลือก --cacert

-v ด้วย https ใน URL

$ curl -v https://google.com
* Rebuilt URL to: https://google.com/
* timeout on name lookup is not supported
*   Trying 172.217.9.174...
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0* Connected to google.com (172.217.9.174) port 443 (#0)
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   *CAfile: C:/Program Files/Git/mingw64/ssl/certs/ca-bundle.crt*

ตำแหน่งของบันเดิล CA เริ่มต้นขึ้นอยู่กับระบบปฏิบัติการ บน RHEL5 จะอยู่ใน /etc/pki/tls/certs/ca-bundle.pem สำหรับรสชาติอื่น ๆ ของ Linux หรือระบบปฏิบัติการที่ไม่ใช่ linux อาจอยู่ในตำแหน่งที่แตกต่างกัน