Я использую сервер Debian 10 и больше не могу подключаться к другим машинам, используя сертификаты Let's Enccrypt, так как срок действия CA LE(DST Root CA X3
)истек несколько дней назад:
root#> curl -I https://example.com
curl: (60) SSL certificate problem: certificate has expired
Что я уже сделал:
ca-certificates
libgnutls-openssl27
иlibgnutls30
update-ca-certificates
.Тем не менее, сервер не может установить доверенное соединение с целевым хостом. Сертификат LE на целевом хосте в порядке, нет ошибок SSL, когда я запускаю curl
с любых других хостов.
Как решить эту проблему и установить доверенное соединение SSL? Любая помощь будет высоко оценена, спасибо заранее!
Отключите сертификат "DST Root CA X3" на вашем сервере. Запустите:
sudo dpkg-reconfigure ca-certificates
На первом экране с запросом «Доверять новым сертификатам от центров сертификации?» выберите «да». На следующем экране нажимайте клавишу со стрелкой вниз на клавиатуре, пока не найдете mozilla/DST_Root_CA_X3.crt
, нажмите пробел, чтобы отменить выбор (, [*]
должно превратиться в[ ]
)и нажмите Enter.
Сертификат ЦС символической ссылки нового ЦС Let's Encrypt отсутствовал в /etc/ssl/certs
и был закомментирован в /etc/ca-certificates.conf
. Я создал его, запустив:
cd /etc/ssl/certs && ln -s /usr/share/ca-certificates/mozilla/ISRG_Root_X1.crt ISRG_Root_X1.pem
С тех пор все работает нормально. Вы также можете запустить dpkg-reconfigure ca-certificates
, чтобы активировать его.