一文解剖centos，curl，nss更新根证书的细节

欢迎关注我的公众号（

虞大胆的叽叽喳喳，yudadanwx

），了解我的最新原创文章。

这篇文章是《一文解剖ubuntu，curl，openssl更新根证书的细节》的姐妹篇，主要描述在 CentOS 系统中基于 NSS 的 SSL 客户端（比如 curl）是如何更新根证书的（这段话请仔细理解）。

顺藤摸瓜找到 ca-certificates

其实在 CentOS 中，如果基于 Yum 包安装，基于 OpenSSL 库的应用程序和基于 NSS 库的应用程序使用的证书路径是一样的，默认其引用的根证书集合文件都是 /etc/pki/tls/certs/ca-bundle.crt。

什么是集合文件呢，和 Ubuntu 中的 /etc/ssl/certs/ca-certificates.crt 文件一样，ca-bundle.crt 文件包含了所有的 CA 根证书。

通过下列命令查看 OpenSSL 默认引用的根证书集合文件：

通过下列命令查看 Curl 默认引用的根证书集合文件：

现在的关键就是 /etc/pki/tls/certs/ca-bundle.crt 是谁更新的？和 Ubuntu 一样，该文件也是由 ca-certificates 包提供的（但两者的运作模式完全不一样，只是包名相同）。

深究 ca-certificates

运行如下命令了解 ca-certificates 包的详细信息：

关键输出如下：

这个包是由 Mozilla 官方提供的，可见 CentOS 极力使用 Mozilla 的 NSS 密码学库，才让 Mozilla 如此重视。

可能有的同学很奇怪了，在 CentOS 系统下，Curl 既然使用 NSS 密码学库，为什么不使用 cert9.db 文件呢？其实很多使用 NSS 密码学库的应用程序（除了 Firefox）很少直接使用 cert9.db，转而使用集成的 pem 证书文件 ca-bundle.crt。

如果本机没有安装 ca-certificates，运行下列命令即可：

看看该包安装那些文件，运行下列命令：

最主要的类型文件包括：

1：/etc/pki/tls/certs/ca-bundle.crt

和 Ubuntu 的 ca-certificates 包不一样，安装的文件只有一个集合文件，每个 CA 机构的根证书没有单独的文件

2：/usr/bin/update-ca-trust

这个命令行工具的作用接下去讲解。

如何更新 CA 根证书

1：mk-ca-bundle.pl 动态更新

如果 Mozilla 维护的 CA 根证书列表发生了变化，而 ca-certificates 包的更新可能滞后，那么可以使用 mk-ca-bundle.pl 工具快速更新。

具体命令如下：

2：通过 update-ca-trust 工具更新 Shared System CA Store

如果你有一个自签名证书，或者有一个私有 CA 根证书，想将其加入到本地 CA 根证书列表中，可以使用该工具。在《一文解剖ubuntu，curl，openssl更新根证书的细节》也没有说明如何更新自签名证书（或一个私有 CA 根证书），关于这个主题，自己打算以后再重点描述，相信很多人会感兴趣。

在本文和《一文解剖ubuntu，curl，openssl更新根证书的细节》这篇文章中，主要了解了如何将 Mozilla 的根证书同步给 OpenSSL 或者 NSS 库的本地根证书列表，从而基于它们的应用程序（比如 Curl）就可以使用本地根证书了。

可能很多同学很奇怪，为什么我最近写了很多 curl、nss 相关方面的文章？原因在于这些主题在我的新书《深入浅出HTTPS：从原理到实战》中描述的不多，也不系统，而这些主题同学们在工作、学习过程中有很大几率会用到，所以系统性的做一些介绍。