Env:
Red Hat Enterprise Linux Server release 7.7 (Maipo)
# openssl version
OpenSSL 1.0.2g 1 Mar 2016
因此,将使用OpenSSL生成自签名证书,并将cacert.pem放在/etc/pki/ca-trust/source/anchors/
下。
现在,根据update-ca-trust
中的人说,应该运行cmd将证书添加到信任存储中,并将证书添加到/etc/pki/ca-trust/extracted/
下。
运行上述cmd之后,我看到证书仅添加到/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt
中。但是大多数应用程序(例如curl)都指向/etc/pki/ca-trust/extracted/openssl/ca-bundle.crt
上的OS ca信任关系,该信任关系链接到/etc/pki/tls/certs/ca-bundle.crt
。
curl -v https://172.21.19.92/api
* About to connect() to 172.21.19.92 port 443 (#0)
* Trying 172.21.19.92...
* Connected to 172.21.19.92 (172.21.19.92) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
我知道传递--cacert
选项是克服它的一种方法,但是我想知道为什么update-ca-trust
仅更新ca-bundle-trust.crt
而不更新ca-bundle.crt
或提取的Java Keystore还有一个/etc/pki/ca-trust/extracted/java/cacerts