Tham gia Đăng nhập
Điểm:11
avatar Ubuntu

Cách cài đặt chứng chỉ ca mới nhất trên Ubuntu 14

lá cờ sm
user1389892

Tôi đã cài đặt Ubuntu 14.04.5 LTS. Gần đây, nó không thể xác minh chứng chỉ Let's Encrypt hiện đại. Phiên bản hiện tại của chứng chỉ ca20160104ubuntu0.14.04.1. apt search ca-chứng chỉ nói với tôi rằng gói có thể nâng cấp lên 20170717~14.04.2 từ cập nhật đáng tin cậy, nhưng tôi nghĩ như thế có lẽ chưa đủ hiện đại.

tôi hiểu rồi chứng chỉ ca phiên bản 20210119~18.04.2 Trong cập nhật bionic. Có thể cài đặt cái này mà không làm gián đoạn hệ thống không? Có cách nào tốt hơn? Cảm ơn.

5753
0 + 0
ssl
lá cờ in
matigo
Thật không may, 14.04 không được hỗ trợ trên trang web này. Nếu bạn có [ESM với Canonical](https://ubuntu.com/blog/ubuntu-14-04-and-16-04-lifecycle-extends-to-ten-years) thì họ có thể cung cấp thông tin chính xác câu trả lời
2
Hồi đáp
guiverc avatar
lá cờ cn
guiverc
Chỉ các bản phát hành được hỗ trợ của Ubuntu (*tiêu chuẩn hoặc hỗ trợ công khai*) mới là chủ đề cho trang web này. Do đó, Ubuntu 14.04 LTS là EOL (*end-of-life*) không có chủ đề và Ubuntu 14.04 ESM nằm trong hỗ trợ *mở rộng* và chỉ được Canonical hỗ trợ thông qua Ubuntu Advantage, do đó cũng không có chủ đề tại đây. Tham khảo https://askubuntu.com/help/on-topic https://help.ubuntu.com/community/EOLUpgrades https://fridge.ubuntu.com/2019/05/02/ubuntu-14-04-trusty-tahr-reached-end-of-life-on-april-25-2019-esm-available/
2
Hồi đáp
Điểm:11
avatar Ubuntu
lá cờ ae
jaygooby

Bạn có thể cài đặt các chứng chỉ ổn định mới nhất từ ​​nguồn (bạn sẽ cần một phiên bản đang hoạt động quên đigiải nén hoặc ít nhất là một cách sao chép tệp .tar không nén hoặc nội dung của nó vào máy chủ mục tiêu của bạn (có lẽ chỉ scp -r khi bạn đã giải nén cục bộ):

# Đảm bảo phụ thuộc
sudo apt -y cài đặt make tar xz-utils wget

# Tạo một nơi để xây dựng nó trong
mkdir -p ~/src
cd ~/src
wget https://launchpad.net/ubuntu/+archive/primary/+sourcefiles/ca-certificates/20210119~20.04.2/ca-certificates_20210119~20.04.2.tar.xz    
tar -xJf ca-certificates_20210119~20.04.2.tar.xz

#Â Bây giờ xây dựng và cài đặt
cd ca-chứng chỉ-20210119~20.04.1
chế tạo
sudo thực hiện cài đặt

# Bạn có thể muốn chạy điều này một cách tương tác để đảm bảo
# bạn có thể chọn ISRG Root X1
# trong trường hợp đó, chỉ cần chạy: sudo dpkg-reconfigure ca-certificates
Sudo dpkg-reconfigure -fnoninteractive ca-cert
Sudo update-ca-chứng chỉ
/usr/bin/c_rehash /etc/ssl/certs
0 + 0
lá cờ cg
Daniel Buckmaster
Tôi đã xem qua phần này và nó đã tạo ra rất nhiều chứng chỉ mới trong `/usr/share/ca-certificates/mozilla`, cũng như `/etc/ssl/certs/ca-certificates.crt`. Nhưng `curl` vẫn không xác thực được chứng chỉ, ngay cả với `--cacert /etc/ssl/certs/ca-certificates.crt`
0
Hồi đáp
lá cờ sm
user1389892
Câu trả lời này rất hữu ích. Đầu tiên, trong `sbin/update-ca-certificates`, tôi phải thay đổi `openssl rehash` thành `c_rehash` (Tôi đã nghiên cứu phiên bản cũ hơn của `ca-certificates`). Tôi cũng phải thực hiện `dpkg-reconfigure ca-certificates` (tương tác) để bật chứng chỉ Let's Encrypt ISRG X1. Sau đó, tôi đã thực hiện `update-ca-certificates --fresh --verbose`. Đảm bảo `/etc/ssl/certs` có một số liên kết tượng trưng `ISRG Root X1`.
2
Hồi đáp
lá cờ ae
jaygooby
@ daniel-buckmaster; kiểm tra một số điều... Bạn có `ls -l /etc/ssl/certs/ISRG_Root_X1.pem` không, nếu không, hãy thử `dpkg-reconfigure` tương tác được đề xuất ở trên. Nếu bạn làm như vậy, hãy đảm bảo rằng bạn *không* có `/etc/ssl/certs/DST_Root_CA_X3.pem` (chứng chỉ đã hết hạn) - một lần nữa, bạn có thể bỏ chọn nó một cách tương tác trong `dpkg-reconfigure ca-certificates`. Thư viện openssl nào đang sử dụng? Chạy `curl -V` và nó sẽ hiển thị cho bạn.Hy vọng rằng đó là 1.0.x như `OpenSSL/1.0.1f` chứ không phải `OpenSSL/0.9.7`
1
Hồi đáp
lá cờ de
ttk
Tôi đã làm theo tất cả các bước trên, nhưng `curl` vẫn phàn nàn. Trong trường hợp của tôi, lệnh `openssl c_rehash` đã bị lỗi trong tập lệnh `update-ca-certificates`. Tôi đã cố cài đặt lại gói `openssl` apt nhưng không được. Điều cuối cùng đã giải quyết vấn đề của tôi là `cd /etc/ssl/certs` sau đó chạy trực tiếp tập lệnh rehash: `/usr/bin/c_rehash`.
1
Hồi đáp
Ariel Kogan avatar
lá cờ cx
Ariel Kogan
Cảm ơn @ user1389892 cho câu hỏi này.
0
Hồi đáp
Ariel Kogan avatar
lá cờ cx
Ariel Kogan
Let's Encrypt có một thông báo [trang](https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/) kèm theo đường liên kết đến các tài nguyên.
1
Hồi đáp
Ariel Kogan avatar
lá cờ cx
Ariel Kogan
Nếu bạn muốn thực hiện ít thay đổi hơn và chỉ xóa chứng chỉ đã hết hạn ([giải pháp thay thế 1](https://www.openssl.org/blog/blog/2021/09/13/LetsEncryptRootCertExpire/) do OpenSSL đề xuất), bạn có thể chạy các lệnh này: `cp /etc/ca-certificates.conf /etc/ca-certificates.conf.orig` `mèo /etc/ca-certificates.conf.orig | sed 's|mozilla/DST_Root_CA_X3.crt|!mozilla//DST_Root_CA_X3.crt|g' > /etc/ca-certificates.conf` `dpkg-reconfigure -fnoninteractive ca-chứng chỉ`
7
Hồi đáp
lá cờ jp
Arcobaleno
Nhận xét của @ArielKogan phải là câu trả lời hợp lệ.
2
Hồi đáp
alexw avatar
lá cờ de
alexw
Tôi đã thử tất cả các bước này nhưng tôi vẫn gặp lỗi `xác minh lỗi:num=20:không thể lấy chứng chỉ nhà phát hành địa phương` khi tôi chạy `openssl s_client` trên máy chủ khách của mình, cố gắng xác minh bằng một máy chủ từ xa khác.
0
Hồi đáp
lá cờ ae
jaygooby
@alexw `openssl version` hiển thị phiên bản nào?
0
Hồi đáp
alexw avatar
lá cờ de
alexw
@jaygooby Tôi đã nâng cấp lên 1.1.1k, hiện tại nó hiển thị.Rõ ràng [thông báo này được mong đợi](https://community.letsencrypt.org/t/struggling-to-get-new-isrg-root-certificate-to-be-recognized-in-ubuntu-16/163251) và tôi chỉ phải đợi một lúc để chuỗi thay thế/ngắn bắt đầu hoạt động.
0
Hồi đáp
questionto42standswithUkraine avatar
lá cờ mk
questionto42standswithUkraine
Cũng hoạt động trong Dockerfile (không sudo, thêm RUN ở mỗi đầu dòng, có thể thêm `WORKDIR /src` sau mkdir.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.