내 FreeBSD 11은 다음을 제공합니다:
[root@freebsd11 ~]# pkg install perl
Updating FreeBSD repository catalogue...
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
pkg: https://pkg.freebsd.org/FreeBSD:11:amd64/latest/meta.txz: Authentication error
repository FreeBSD has no meta file, using default settings
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
pkg: https://pkg.freebsd.org/FreeBSD:11:amd64/latest/packagesite.pkg: Authentication error
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
34406394360:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/s3_clnt.c:1269:
pkg: https://pkg.freebsd.org/FreeBSD:11:amd64/latest/packagesite.txz: Authentication error
Unable to update repository FreeBSD
Error updating repositories!
인증서가 만료되었기 때문에 발생하는 것 같은데 해결 방법을 모르겠습니다.
답변1
답변2
예, Let's Encrypt에서 역사적으로 사용했던 DST 루트 CA X3 인증서는 1년 반 전에 만료되었습니다.https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/그리고 링크에 나와 있듯이https://letsencrypt.org/2020/12/21/extending-android-compatibility.html. (제가 기억하기로 유닉스, 애플, 보안, SF, SU, SO 등 여러 스택에 대해 약 100개의 질문이 있습니다. 대부분은 1~2주 이내에, 일부는 2주 이내에 또는 3개월 이내에 나타납니다. 외계 행성으로의 휴가?
openssl version보유하고 있는 OpenSSL(프로그램: do ) 및 ca_root_nss(패키지) 버전을 확인하세요. 루트 CA가 2017년 이전 버전인 경우 신뢰 파일(패키지에서 제공하는 /usr/local/share/certs/ca-root-nss.crt)에 ISRG 루트가 없을 수 있으므로 이를 추가해야 합니다. -- 아마도 새로운 시스템으로 다운로드한 다음 버려진 시스템에 복사해야 할 것입니다. PEM 형식이어야 하지만 DER을 얻으면 openssl x509 -inform der -outform pem <this >that변환에 사용하고 선택적으로 -text -fingerprint사람이 읽을 수 있는 유용한 서문을 추가하면 됩니다.
1.1.0 이전의 OpenSSL 버전이 있고 신뢰 파일에 현재 더 이상 사용되지 않는 DST-X3 루트가 있는 경우(2020년 이전에 구축된 시스템의 경우 거의 확실히 이 작업을 수행할 것임) 이를 제거해야 합니다(편리한 방법을 사용하여) 편집기) OpenSSL LE 페이지에 언급된 오류를 방지합니다.
항상 그렇듯이 중요한 파일을 수정하기 전에 해당 파일의 백업을 저장하십시오. 시스템이 작동하면 이러한 변경 사항이 포함된 공식 ca_root_nss 업데이트가 있는지 확인하고, 그렇다면 수동 패치 대신 이를 사용하십시오.