The certificate issuer’s certificate has expired

После добавления репозитория ntopng в давно установленный и стабильно работающий Centos 7 система выдала такую ошибку. https://packages.ntop.org/centos-stable/7/x86_64/repodata/repomd.xml: [Errno 14] curl#60 — «The certificate issuer’s certificate has expired. Check your system date and time.»

После проверки даты и времени вспомнились сентябрьские новости 2021 года: «30 сентября 2021 14:01:15 GMT оканчивается срок действия корневого сертификата IdenTrust DST Root CA X3.»
the-certificate-issuers-certificate-has-expired
Там же, на Хабре есть полное описание решения проблемы. Я пишу чисто для себя, чтоб не искать, когда в очередной раз приспичит, только с уклоном в сторону Centos 7.

Берем с Хабра готовый скрипт проверки.
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-bundle.crt | grep "ISRG Root X1"
Запускаем и убеждаемся в отсутствии правильной записи в выводе
(subject= /C=US/O=Internet Security Research Group/CN=ISRG Root X1)
Посмотрим на пакеты сертификатов.
rpm -qa|grep ca-certificates

yum info ca-certificates

Догадаться не сложно, что пакет от 2015 года нужно обновить до пакета 2021 года
yum -y update ca-certificates
После запустим проверочный скрипт
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-bundle.crt | grep "ISRG Root X1"
В выводе видим вожделенную строку

Кстати, всё это справедливо и для устаревшего Centos 6. Правда там пакеты будут 2018 года и, возможно, 2020 года. Поэтому можно после обновления пакета, на всякий случай, обновить сертификат принудительно.
update-ca-trust force-enable
update-ca-trust check

И не забываем про проверочный скрипт
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-bundle.crt | grep "ISRG Root X1"

The certificate issuer’s certificate has expired

Добавить комментарий

Ваш адрес email не будет опубликован.