บรรจวบ เข้าสู่ระบบ
Score:11
avatar Ubuntu

วิธีติดตั้งใบรับรอง ca ล่าสุดบน Ubuntu 14

ธง sm
user1389892

ฉันมีการติดตั้ง Ubuntu 14.04.5 LTS เมื่อไม่นานมานี้ไม่สามารถตรวจสอบใบรับรอง Let's Encrypt สมัยใหม่ได้ รุ่นปัจจุบันของ ใบรับรอง ca เป็น 20160104ubuntu0.14.04.1. apt ค้นหาใบรับรอง ca บอกฉันว่าแพ็คเกจสามารถอัพเกรดเป็น 20170717~14.04.2 จาก ปรับปรุงที่เชื่อถือได้แต่คิดว่าคงไม่ทันสมัยพอ

เข้าใจแล้ว ใบรับรอง ca รุ่น 20210119~18.04.2 ใน การปรับปรุงไบโอนิค. สามารถติดตั้งโดยไม่รบกวนระบบได้หรือไม่? มีวิธีที่ดีกว่า? ขอบคุณ.

5753
0 + 0
in flag
matigo
น่าเสียดายที่ไซต์นี้ไม่รองรับ 14.04 หากคุณมี [ESM with Canonical](https://ubuntu.com/blog/ubuntu-14-04-and-16-04-lifecycle-extended-to-10-years) พวกเขาอาจสามารถให้ข้อมูลที่ถูกต้อง คำตอบ
2
ตอบกลับ
guiverc avatar
cn flag
guiverc
เฉพาะรุ่นที่รองรับของ Ubuntu (*การสนับสนุนมาตรฐานหรือสาธารณะ*) เท่านั้นที่อยู่ในหัวข้อสำหรับไซต์นี้ Ubuntu 14.04 LTS เป็น EOL (*end-of-life*) ดังนั้นจึงไม่อยู่ในหัวข้อ และ Ubuntu 14.04 ESM อยู่ในการสนับสนุนแบบ *ขยาย* และรองรับโดย Canonical ผ่าน Ubuntu Advantage เท่านั้น ดังนั้นจึงนอกหัวข้อที่นี่ อ้างอิง https://askubuntu.com/help/on-topic https://help.ubuntu.com/community/EOLUpgrades https://fridge.ubuntu.com/2019/05/02/ubuntu-14-04-trusty-tahr-reached-end-of-life-on-april-25-2019-esm-available/
2
ตอบกลับ
Score:11
avatar Ubuntu
ธง ae
jaygooby

คุณสามารถติดตั้งใบรับรองที่เสถียรล่าสุดได้จากแหล่งที่มา (คุณจะต้องมีไฟล์ ว้าว และ unxz หรืออย่างน้อยวิธีการคัดลอกไฟล์ .tar ที่ไม่บีบอัดหรือเนื้อหาไปยังเซิร์ฟเวอร์เป้าหมายของคุณ (อาจเป็นเพียง scp -r เมื่อคุณแตกไฟล์ในเครื่องแล้ว):

#รับประกันการพึ่งพาอาศัยกัน
sudo apt -y ติดตั้ง make tar xz-utils wget

#จัดสถานที่ให้พร้อมเข้าอยู่ได้เลย
mkdir -p ~/src
ซีดี ~/src
wget https://launchpad.net/ubuntu/+archive/primary/+sourcefiles/ca-certificates/20210119~20.04.2/ca-certificates_20210119~20.04.2.tar.xz    
tar -xJf ca-certificates_20210119~20.04.2.tar.xz

#Â ตอนนี้สร้างและติดตั้ง
cd ca-ใบรับรอง-20210119~20.04.1
ทำ
sudo ทำการติดตั้ง

# คุณอาจต้องการเรียกใช้สิ่งนี้แบบโต้ตอบเพื่อให้แน่ใจว่า
# คุณสามารถเลือก ISRG Root X1
# ในกรณีนี้ ให้รัน: sudo dpkg-reconfigure ca-certificates
sudo dpkg-reconfigure -fnoninteractive ca-ใบรับรอง
sudo update-ca-ใบรับรอง
/usr/bin/c_rehash /etc/ssl/certs
0 + 0
cg flag
Daniel Buckmaster
ฉันดำเนินการผ่านสิ่งนี้และสร้างใบรับรองใหม่จำนวนมากใน `/usr/share/ca-certificates/mozilla` รวมถึง `/etc/ssl/certs/ca-certificates.crt` แต่ `curl` ยังไม่สามารถตรวจสอบใบรับรองได้แม้ว่าจะมี `--cacert /etc/ssl/certs/ca-certificates.crt`
0
ตอบกลับ
sm flag
user1389892
คำตอบนี้มีประโยชน์มาก ก่อนอื่น ใน `sbin/update-ca-certificates` ฉันต้องเปลี่ยน `openssl rehash` เป็น `c_rehash` (ฉันศึกษา `ca-certificates` เวอร์ชันเก่ากว่า) ฉันต้องทำ `dpkg-reconfigure ca-certificates` (แบบโต้ตอบ) เพื่อเปิดใช้งาน Let's Encrypt ISRG X1 certs จากนั้นฉันก็ `update-ca-certificates --fresh --verbose` ตรวจสอบให้แน่ใจว่า `/etc/ssl/certs` มี symlink ของ `ISRG Root X1`
2
ตอบกลับ
ae flag
jaygooby
@แดเนียล-บัคมาสเตอร์; ตรวจสอบสองสามสิ่ง... คุณมี `ls -l /etc/ssl/certs/ISRG_Root_X1.pem` หรือไม่ ถ้าไม่มี ให้ลองใช้ `dpkg-reconfigure` แบบโต้ตอบที่แนะนำไว้ด้านบน หากคุณทำเช่นนั้น ตรวจสอบให้แน่ใจว่าคุณ *ไม่มี* `/etc/ssl/certs/DST_Root_CA_X3.pem` (ใบรับรองที่หมดอายุ) - คุณสามารถยกเลิกการเลือกแบบโต้ตอบได้ใน `dpkg-reconfigure ca-certificates` curl ใช้ไลบรารี่ของ openssl อะไร เรียกใช้ `curl -V` และมันจะแสดงให้คุณเห็นหวังว่ามันจะเป็น 1.0.x เช่น `OpenSSL/1.0.1f` ไม่ใช่ `OpenSSL/0.9.7`
1
ตอบกลับ
de flag
ttk
ฉันทำตามขั้นตอนข้างต้นทั้งหมดแล้ว แต่ `curl` ก็ยังบ่นอยู่ ในกรณีของฉัน คำสั่ง `openssl c_rehash` ล้มเหลวในสคริปต์ `update-ca-certificates` ฉันพยายามบังคับติดตั้งแพ็คเกจ `openssl` apt ใหม่ แต่นั่นไม่ได้ผล สิ่งที่แก้ปัญหาของฉันได้ในที่สุดคือ `cd /etc/ssl/certs` จากนั้นรันสคริปต์ rehash โดยตรง: `/usr/bin/c_rehash`
1
ตอบกลับ
Ariel Kogan avatar
cx flag
Ariel Kogan
ขอบคุณ @ user1389892 สำหรับคำถามนี้
0
ตอบกลับ
Ariel Kogan avatar
cx flag
Ariel Kogan
Let's Encrypt มีประกาศ[หน้า](https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/)พร้อมลิงก์ไปยังแหล่งข้อมูล
1
ตอบกลับ
Ariel Kogan avatar
cx flag
Ariel Kogan
หากคุณต้องการทำการเปลี่ยนแปลงน้อยลงและนำเฉพาะใบรับรองที่หมดอายุออก ([วิธีแก้ปัญหา 1](https://www.openssl.org/blog/blog/2021/09/13/LetsEncryptRootCertExpire/) แนะนำโดย OpenSSL) คุณสามารถเรียกใช้ คำสั่งเหล่านี้: `cp /etc/ca-certificates.conf /etc/ca-certificates.conf.orig` `แมว /etc/ca-certificates.conf.orig | sed 's|mozilla/DST_Root_CA_X3.crt|!mozilla//DST_Root_CA_X3.crt|g' > /etc/ca-certificates.conf` `dpkg-reconfigure -f noninteractive ca-certificate`
7
ตอบกลับ
jp flag
Arcobaleno
ความคิดเห็นของ @ ArielKogan ควรเป็นคำตอบที่ถูกต้อง
2
ตอบกลับ
alexw avatar
de flag
alexw
ฉันได้ลองทำตามขั้นตอนเหล่านี้ทั้งหมดแล้ว แต่ฉันยังคงได้รับข้อผิดพลาด `verify error:num=20:unable to get local issuer certificate` เมื่อฉันเรียกใช้ `openssl s_client` บนเซิร์ฟเวอร์ไคลเอนต์ของฉัน โดยพยายามยืนยันกับเซิร์ฟเวอร์ระยะไกลอื่น
0
ตอบกลับ
ae flag
jaygooby
@alexw `openssl version` แสดงเวอร์ชันใด
0
ตอบกลับ
alexw avatar
de flag
alexw
@jaygooby ฉันอัปเกรดเป็น 1.1.1k ซึ่งตอนนี้แสดงให้เห็นแล้วเห็นได้ชัดว่า [คาดว่าจะได้รับข้อความนี้](https://community.letsencrypt.org/t/struggling-to-get-new-isrg-root-certificate-to-be-recognized-in-ubuntu-16/163251) และฉันต้องรอสักครู่เพื่อให้โซ่สำรอง/โซ่สั้นเข้าที่
0
ตอบกลับ
questionto42standswithUkraine avatar
mk flag
questionto42standswithUkraine
ใช้งานได้ใน Dockerfile (ไม่มี sudo เพิ่ม RUN ที่แต่ละบรรทัดเริ่มต้น อาจเพิ่ม `WORKDIR /src` หลัง mkdir
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา