У меня есть серверы ubuntu 12.04, которые не обновлялись 2 года. Он работал хорошо и нормально, пока мы не решили его обновить.
После обновления (apt-get upgrade) CA файл /usr/share/ca-certificates/mozilla/Entrust.net_Secure_Server_CA.crt исчез, и программа не может получить доступ к Entrust Certification Authority - L1C.
Есть идеи, почему это произошло?
Вот журнал:
ubuntu@ip-10-67-192-40:~$ curl -i https://api.demo.com/ #works
ubuntu@ip-10-67-192-40:~$ file /etc/ssl/certs/5f267794.0
/etc/ssl/certs/5f267794.0: symbolic link to `Entrust.net_Secure_Server_CA.pem'
ubuntu@ip-10-67-192-40:~$ file /etc/ssl/certs/Entrust.net_Secure_Server_CA.pem
/etc/ssl/certs/Entrust.net_Secure_Server_CA.pem: symbolic link to `/usr/share/ca-certificates/mozilla/Entrust.net_Secure_Server_CA.crt'
ubuntu@ip-10-67-192-40:~$ file /usr/share/ca-certificates/mozilla/Entrust.net_Secure_Server_CA.crt
/usr/share/ca-certificates/mozilla/Entrust.net_Secure_Server_CA.crt: PEM certificate
ubuntu@ip-10-67-192-40:~$ sudo update-ca-certificates
Updating certificates in /etc/ssl/certs... 0 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....done.
root@ip-10-67-192-40:~# apt-get update; apt-get upgrade
ubuntu@ip-10-67-192-40:~$ curl -i https://api.demo.com/ #dosen't work
Похоже, это соответствующая запись в журнале изменений:
ca-certificates (20140927) unstable; urgency=medium
* Update Mozilla certificate authority bundle to version 2.1.
[...]
The following certificate authorities were removed (-):
- "Entrust.net Secure Server CA"
[...]
-- Michael Shuler <michael@pbandjelly.org> Sat, 27 Sep 2014 15:14:00 -0500
Немного DDGing, и я нашел эта ошибка Mozilla запрашивая удаление, со ссылкой на эта другая ошибка что предполагает, что рассматриваемый сертификат CA устарел, все биты доверия были удалены и, таким образом, были удалены из NSS.
Учитывая, что сертификат был удален из NSS в 2011 году (Firefox 6) и предположительно был объявлен устаревшим незадолго до этого, я бы сказал, что давно пора получить новый сертификат для сайта, к которому вы пытаетесь получить доступ.
Обновить: Похоже, что Xero переходит на новый сертификат, который решает эту проблему. Простое исправление - использовать sha2-api.xero.com вместо того api.xero.com. Но будьте осторожны, вам нужно будет вернуться к апрелю 2016 года. Подробнее: http://developer.xero.com/sha2-ssl-cert-migration-advisory-notice/
У нас была такая же проблема с подключением к api.xero.com на серверах Ubuntu 14.04 с помощью curl.
Чтобы уточнить предыдущий ответ, решение состоит в том, чтобы установить Доверьте Secure Server CA сертификат вручную в хранилище сертификатов ЦС. Это (устаревший) корневой центр сертификации. Сертификат можно скачать здесь: https://www.entrust.net/downloads/binary/entrust_ssl_ca.cer
Загрузите и поместите файл в /usr/local/share/ca-certificates. Убедитесь, что у него есть .crt расширение (не .cer он идет с).
Тогда беги sudo update-ca-certificates чтобы перестроить системный пакет CA.