一文解剖centos,curl,nss更新根证书的细节

欢迎关注我的公众号(

虞大胆的叽叽喳喳,yudadanwx

),了解我的最新原创文章。

这篇文章是《一文解剖ubuntu,curl,openssl更新根证书的细节》的姐妹篇,主要描述在 CentOS 系统中基于 NSS 的 SSL 客户端(比如 curl)是如何更新根证书的(这段话请仔细理解)。

顺藤摸瓜找到 ca-certificates

其实在 CentOS 中,如果基于 Yum 包安装,基于 OpenSSL 库的应用程序和基于 NSS 库的应用程序使用的证书路径是一样的,默认其引用的根证书集合文件都是 /etc/pki/tls/certs/ca-bundle.crt。

什么是集合文件呢,和 Ubuntu 中的 /etc/ssl/certs/ca-certificates.crt 文件一样,ca-bundle.crt 文件包含了所有的 CA 根证书。

通过下列命令查看 OpenSSL 默认引用的根证书集合文件:

通过下列命令查看 Curl 默认引用的根证书集合文件:

现在的关键就是 /etc/pki/tls/certs/ca-bundle.crt 是谁更新的?和 Ubuntu 一样,该文件也是由 ca-certificates 包提供的(但两者的运作模式完全不一样,只是包名相同)。

深究 ca-certificates

运行如下命令了解 ca-certificates 包的详细信息:

关键输出如下:

这个包是由 Mozilla 官方提供的,可见 CentOS 极力使用 Mozilla 的 NSS 密码学库,才让 Mozilla 如此重视。

可能有的同学很奇怪了,在 CentOS 系统下,Curl 既然使用 NSS 密码学库,为什么不使用 cert9.db 文件呢?其实很多使用 NSS 密码学库的应用程序(除了 Firefox)很少直接使用 cert9.db,转而使用集成的 pem 证书文件 ca-bundle.crt。

如果本机没有安装 ca-certificates,运行下列命令即可:

看看该包安装那些文件,运行下列命令:

最主要的类型文件包括:

1:/etc/pki/tls/certs/ca-bundle.crt

和 Ubuntu 的 ca-certificates 包不一样,安装的文件只有一个集合文件,每个 CA 机构的根证书没有单独的文件

2:/usr/bin/update-ca-trust

这个命令行工具的作用接下去讲解。

如何更新 CA 根证书

1:mk-ca-bundle.pl 动态更新

如果 Mozilla 维护的 CA 根证书列表发生了变化,而 ca-certificates 包的更新可能滞后,那么可以使用 mk-ca-bundle.pl 工具快速更新。

具体命令如下:

2:通过 update-ca-trust 工具更新 Shared System CA Store

如果你有一个自签名证书,或者有一个私有 CA 根证书,想将其加入到本地 CA 根证书列表中,可以使用该工具。在《一文解剖ubuntu,curl,openssl更新根证书的细节》也没有说明如何更新自签名证书(或一个私有 CA 根证书),关于这个主题,自己打算以后再重点描述,相信很多人会感兴趣。

在本文和《一文解剖ubuntu,curl,openssl更新根证书的细节》这篇文章中,主要了解了如何将 Mozilla 的根证书同步给 OpenSSL 或者 NSS 库的本地根证书列表,从而基于它们的应用程序(比如 Curl)就可以使用本地根证书了。

可能很多同学很奇怪,为什么我最近写了很多 curl、nss 相关方面的文章?原因在于这些主题在我的新书《深入浅出HTTPS:从原理到实战》中描述的不多,也不系统,而这些主题同学们在工作、学习过程中有很大几率会用到,所以系统性的做一些介绍。

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20180729G0LDFG00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券