我手动向/etc/pki/ca-trust/extracted/java/cacerts添加了一些新证书,这使Java信任这些证书,因为Java被配置为使用此证书位置。然而,从我所读到的内容来看,为了正确地做这件事,并确保这一改变在未来的证书系统更新中幸存下来,它应该这样做:
- 添加到
/etc/pki/ca-trust/source/anchors - 运行
update-trust-ca
但是,这不起作用,即来自源锚点的证书不会传输到Javacacerts。
此处讨论的建议解决方案https://access.redhat.com/discussions/3018271首先运行"trust anchor/etc/pki/ca trust/source/anchors/*.cer",但随后我得到"p11 kit:无法创建对象:字段为只读"。如何修复此错误?如何进行?
系统:
cat /etc/redhat-release
CentOS Linux release 7.7.1908 (Core)
Java:
java -version
openjdk version "1.8.0_242"
OpenJDK Runtime Environment (build 1.8.0_242-b08)
OpenJDK 64-Bit Server VM (build 25.242-b08, mixed mode)
我也在为同样的问题而挣扎。
- 我将2个证书放入/etc/pki/ca-trust/source/anchers并运行update-ca-trust。只有一个指向/etc/pki/ca-trust/extracted/java/cacerts,ca。服务器的证书被忽略。当我在最后一行的更新ca信任中添加选项-v时:
(p11-kit:21017) extract_certificate: skipping certificate that doesn't match trust flags
对于trust anchor cert.pem,我也有同样的情况。
- 我将这两个证书放在/etc/pki/tls/certs中,并运行命令
trust anchor cert.pem。我得到的文件:/etc/pki/ca trust/source/domain(来自CN(.p11 kit。我正在根据此修改此文件https://access.redhat.com/discussions/3018271.我再次运行更新ca信任。之后,我也可以在/etc/pki/ca-trust/extracted/java/cacerts中找到我的证书
对于实验,我取消了对以下行的注释:
#set -vx
来自更新ca信任。当您运行命令trust anchor cert.pem时,命令update-ca-trust将在最后被调用。
我不知道为什么我不能将这些文件保存在/etc/pki/ca-trust/source/a锚点,为什么更新ca-trust忽略证书类别:其他条目。
您是导入CA根目录还是导入中间目录?我遇到这个问题是因为我试图添加一个根CA,而我真的需要为我的通配符证书添加中间CA。