SSL证书ca-Cericates.crt和ssl-cert-毒蛇油.cert过期-怎么办？

Question

在运行sudo lynis audit system时，它告诉我我的两个SSL证书过期了，即:/etc/ssl/certs/ca-证书.cert和/etc/ssl/certs/ssl-certs.etc。

我该怎么做才能解决这个问题？删除那些证书？如果是的话，怎么做？我在用Debian9.1和KDE。

Answer 1

/etc/ssl/certs/ca-certificates.crt不应该只是“您的”SSL证书。对于希望将所有可信CA证书都放在一个文件中的程序，它应该是OpenSSL信任的所有CA证书的连接。

一些使用OpenSSL的程序需要将受信任的CA证书作为目录中的单独文件，文件名是表单HHHHHHHH.N的证书散列，其中N通常为0(如果有两个或多个具有相同哈希的证书，则第一个证书的后缀为.0、第二个.1等)。这是通过/etc/ssl/certs目录中的符号链接完成的。

这两种表单都由update-ca-certificates命令管理，该命令由/etc/ca-certificates.conf文件控制。根证书的实际主副本位于/usr/share/ca-certificates/的子目录中(如果选择以Debian方式添加自定义根证书，则为/usr/local/share/ca-certificates )。

如果您想要排除某些默认CA证书(例如，因为它们已经过期，并且您被命令从系统配置中删除任何过期证书)，则应该编辑/etc/ca-certificates.conf，在适当的行前加上感叹号，然后以根用户身份运行update-ca-certificates。对于自定义CA证书，应该在运行/usr/local/share/ca-certificates/*之前将它们从update-ca-certificates子目录中删除。否则，将更新或重新配置update-ca-certificates will just add it back whenever theca-证书包。

请注意，/etc/ssl/certs中的证书过期通常不是一个问题: OpenSSL库函数将检查证书过期情况，并将过期证书报告为验证失败。当然，如果您有一个不知道实时和日期的系统，或者一个编程错误的应用程序会忽略证书过期，那么您就有合法的理由从配置中删除过期的证书。

如果要重新生成/etc/ssl/certs/ssl-cert-snakeoil.pem证书，其命令是：

make-ssl-cert generate-default-snakeoil --force-overwrite

这将用新的自签名证书覆盖证书/etc/ssl/certs/ssl-cert-snakeoil.pem，用相应的新私钥覆盖文件/etc/ssl/private/ssl-cert-snakeoil.key。

Answer 2

在发行版的包存储库中应该有一个“ca证书”包。

升级该软件包，您已安装的CA证书将被升级。

顺便说一句，如果您从系统中删除ca-证书.ca，您将无法信任任何人的SSL证书。