Zertifikate und OpenSSL unter Ubuntu 14.04 aktualisieren und trotzdem noch Fehlermeldungen wegen abgelaufenem LetsEncrypt-Zertifikat erhalten?

tag-icon tag-icon ssl-certificate openssl ubuntu-14.04 lets-encrypt
Zertifikate und OpenSSL unter Ubuntu 14.04 aktualisieren und trotzdem noch Fehlermeldungen wegen abgelaufenem LetsEncrypt-Zertifikat erhalten?

In meinem Büro läuft auf einem der Systeme immer noch Ubuntu 14.04. Dieses System ist vom Problem mit dem abgelaufenen Stammzertifikat von Let’s Encrypt betroffen:

https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

Ich habe die neuesten Zertifikate manuell heruntergeladen. Hierzu habe ich die folgenden Anweisungen befolgt:

https://askubuntu.com/questions/1366704/how-to-install-latest-ca-certificates-on-ubuntu-14

# Ensure dependencies
sudo apt install make tar wget

# Make a place to build it in
mkdir -p ~/src
cd ~/src
wget https://launchpad.net/ubuntu/+archive/primary/+sourcefiles/ca-certificates/20210119~20.04.2/ca-certificates_20210119~20.04.2.tar.xz    
tar -xJf ca-certificates_20210119~20.04.2.tar.xz

# Now build and install
cd ca-certificates-20210119~20.04.1
make
sudo make install

# You might want to run this interactively to ensure
# you can select the ISRG Root X1
# in which case, just run: sudo dpkg-reconfigure ca-certificates
sudo dpkg-reconfigure -fnoninteractive ca-certificates
sudo update-ca-certificates --fresh --verbose
/usr/bin/c_rehash /etc/ssl/certs

Ich habe die folgenden Schritte ausgeführt, um die „DST Root CA X3“ zu entfernen und sicherzustellen, dass das Zertifikat „ISRG_Root_X1“ aktiviert wurde:

https://jay.gooby.org/2021/09/30/remove-the-dst-root-ca-x3-crt-from-ubuntu-14-04-lts

# Also available at https://askubuntu.com/a/1366719/233579
mkdir -p ~/src
cd ~/src
wget https://launchpad.net/ubuntu/+archive/primary/+sourcefiles/ca-    certificates/20210119~20.04.2/ca-certificates_20210119~20.04.2.tar.xz
unxz ca-certificates_20210119~20.04.2.tar.xz
tar -xf ca-certificates_20210119~20.04.2.tar
cd ca-certificates-20210119~20.04.1
make
sudo make install
sudo dpkg-reconfigure -fnoninteractive ca-certificates
sudo update-ca-certificates

Ich habe zur Sicherheit einen Neustart durchgeführt. Der Fehler trat immer noch auf. Anschließend habe ich manuell opensslvon 1.0.2 auf 1.1.0 aktualisiert, indem ich diese Anweisungen befolgt habe:

https://forums.servethehome.com/index.php?resources/installing-openssl-1-1-0-on-ubuntu.21/

# I had to use the --no-check-certificate flag because openssl's certificate
#  is issued by LetsEncrypt
wget https://www.openssl.org/source/openssl-1.1.0e.tar.gz --no-check-certificate
tar xzvf openssl-1.1.0e.tar.gz
cd openssl-1.1.0e
./config -Wl,--enable-new-dtags,-rpath,'$(LIBRPATH)'
make
sudo make install

Ich sehe die neue Version:

$ openssl version
OpenSSL 1.1.1l  24 Aug 2021

Ich habe sichergestellt, dass das alte abgelaufene Zertifikat weg war und das neue aktiv war:

# Look for expired LetsEncrypt certificate.
$ openssl x509 -enddate -noout -in /etc/ssl/certs/DST_Root_CA_X3.pem
Can't open /etc/ssl/certs/DST_Root_CA_X3.pem for reading, No such file or directory
140352100943680:error:02001002:system library:fopen:No such file or directory:crypto/bio/bss_file.c:69:fopen('/etc/ssl/certs/DST_Root_CA_X3.pem','r')
140352100943680:error:2006D080:BIO routines:BIO_new_file:no such file:crypto/bio/bss_file.c:76:
unable to load certificate

# Look for new LetsEncrypt ISRG_Root_X1 certificate
$ openssl x509 -enddate -noout -in /etc/ssl/certs/ISRG_Root_X1.pem
notAfter=Jun  4 11:04:38 2035 GMT

Ich habe zur Sicherheit noch einmal neu gestartet. Leider erhalte ich immer noch den Fehler. Folgendes passiert, wenn ich versuche, den opensslBuild 1.1.0 erneut herunterzuladen. Dieses Mal jedoch ohne das Tool, --no-check-certificatesdas wgetich zuvor verwendet habe, um die Datei abzurufen:

$  wget https://www.openssl.org/source/openssl-1.1.0e.tar.gz
--2021-11-24 18:38:38--  https://www.openssl.org/source/openssl-1.1.0e.tar.gz
Resolving www.openssl.org (www.openssl.org)... 2600:1403:5400:59f::c1e, 2600:1403:5400:5b3::c1e, 104.122.65.172
Connecting to www.openssl.org (www.openssl.org)|2600:1403:5400:59f::c1e|:443... connected.
ERROR: cannot verify www.openssl.org's certificate, issued by ‘/C=US/O=Let's Encrypt/CN=R3’:
  Unable to locally verify the issuer's authority.
To connect to www.openssl.org insecurely, use `--no-check-certificate'.

Weiß jemand, wie ich das beheben kann?

Antwort1

Es ist nicht erforderlich, alle CA-Zertifikate herunterzuladen, wenn Sie nur eines hinzufügen möchten.

Laden Sie einfach das neue ISRG Root X1 Stammzertifikat im PEM-Format herunter vonLet’s Encrypts Repository(natürlich nachdem Sie bestätigt haben, dass der Link zur echten, durch HTTPS geschützten Site führt).

Benennen Sie die Datei um, sodass sie die Erweiterung hat, .crtund platzieren Sie sie in /usr/local/share/ca-certificates.

Führen Sie abschließend Folgendes aus:

sudo update-ca-certificates --fresh

verwandte Informationen