실행하면 sudo lynis audit systemSSL 인증서 중 두 개(/etc/ssl/certs/ca-certificates.crt 및 /etc/ssl/certs/ssl-cert-snakeoil.pem)가 만료되었다는 메시지가 표시됩니다.
이 문제를 해결하려면 어떻게 해야 합니까? 해당 인증서를 삭제하시겠습니까? 그렇다면 어떨까요? 저는 데비안 9.1과 KDE를 사용하고 있습니다.
답변1
/etc/ssl/certs/ca-certificates.crt단순히 "귀하의" SSL 인증서가 되어서는 안 됩니다. 신뢰할 수 있는 CA 인증서의 전체 목록을 단일 파일에 저장하려는 프로그램의 경우 OpenSSL에서 신뢰하는 모든 CA 인증서를 연결해야 합니다.
OpenSSL을 사용하는 일부 프로그램은 파일 이름이 인증서 해시(일반적으로 0인 N 형식)인 디렉터리의 별도 파일로 신뢰할 수 있는 CA 인증서를 기대합니다 HHHHHHHH.N(동일한 해시를 가진 인증서가 두 개 이상 있는 경우 첫 번째 인증서는 동일한 해시) 접미사 .0, 두 번째 .1등). 이는 디렉토리의 심볼릭 링크를 통해 수행됩니다 /etc/ssl/certs.
두 형식 모두 update-ca-certificates파일에 의해 제어되는 명령으로 관리 됩니다 /etc/ca-certificates.conf. 루트 인증서의 실제 마스터 복사본은 /usr/share/ca-certificates/( /usr/local/share/ca-certificatesDebian 방식으로 사용자 지정 루트 인증서를 추가하도록 선택한 경우) 하위 디렉터리에 있습니다.
특정 기본 CA 인증서를 제외하려면(예를 들어 해당 인증서가 만료되었고 시스템 구성에서 만료된 모든 인증서를 제거하라는 명령을 받았기 때문에) 을 편집하고 /etc/ca-certificates.conf해당 줄 앞에 느낌표를 붙인 다음 update-ca-certificatesroot를 실행해야 합니다. 사용자 정의 CA 인증서의 경우 를 /usr/local/share/ca-certificates/*실행하기 전에 하위 디렉터리에서 삭제 해야 합니다 update-ca-certificates. 그렇지 않으면 update-ca-certificates will just add it back whenever theca-certificates 패키지가 업데이트되거나 재구성됩니다.
만료된 인증서는 /etc/ssl/certs일반적으로 문제가 되지 않습니다. OpenSSL 라이브러리 기능은 만료된 인증서를 확인하고 만료된 인증서를 유효성 검사 실패로 보고합니다. 물론 시스템이 실시간 및 날짜를 인식하지 못하거나 애플리케이션이 잘못 프로그래밍되어 인증서 만료를 무시하는 경우 구성에서 만료된 인증서를 제거해야 할 타당한 이유가 있습니다.
/etc/ssl/certs/ssl-cert-snakeoil.pem인증서를 다시 생성하려는 경우 명령은 다음과 같습니다.
make-ssl-cert generate-default-snakeoil --force-overwrite
그러면 /etc/ssl/certs/ssl-cert-snakeoil.pem새 자체 서명된 인증서로 인증서를 덮어쓰고 /etc/ssl/private/ssl-cert-snakeoil.key해당하는 새 개인 키로 파일을 덮어씁니다.
답변2
배포판의 패키지 저장소에 "ca-certificates" 패키지가 있어야 합니다.
이 패키지를 업그레이드하면 설치한 CA 인증서도 업그레이드됩니다.
그런데 시스템에서 ca-certificates.crt를 삭제하면 다른 사람의 SSL 인증서를 신뢰할 수 없게 됩니다.