【Linux、Centos】wget下载软件包时,遇到不信任问题,除了跳过证书检验,更新或者下载ca证书也是个解决办法

ERROR: cannot verify mirrors.tuna.tsinghua.edu.cn's certificate, issued by ‘/C=US/O=Let's Encrypt/CN=R3’:

  Issued certificate has expired.

To connect to mirrors.tuna.tsinghua.edu.cn insecurely, use `--no-check-certificate'.

我在源码安装mysql时候,访问Tsinghua网站遇到了问题,系统提示我使用--no-check-certificate,这个另一种解决思路就是安装或者更新自己的证书,操作如下

yum install -y ca-certificates

然后再重新使用wget下载即可

<think>嗯,用户想了解如何用update-ca-trust安装.cer后缀的证书。首先,我需要回忆一下在Linux系统中管理CA证书的流程。通常,系统会有一个信任存储,比如/etc/pki/ca-trust/source/anchors/或者/usr/local/share/ca-certificates/,具体取决于发行版。 记得在基于RHEL的系统(如CentOS、Fedora)上,用的是update-ca-trust命令,而Debian/Ubuntu可能用update-ca-certificates。用户提到的是update-ca-trust,所以应该针对RHEL系列。 步骤大概是将证书文件复制到指定目录,比如anchors目录下,然后运行命令更新信任存储。可能需要确认证书的格式是否正确,.cer文件通常是DER或PEM编码,如果是DER的话,可能需要转换成PEM格式,但有候工具也能自动处理。 还要注意权限问题证书文件需要有适当的权限,可能644。另外,是否需要重启某些服务,或者是否立即生效。另外,检查是否有多个可能的目录,或者是否需要符号链接。 可能用户遇到的常见问题包括证书未正确放置、格式问题、命令未找到(比如在错误的发行版上),或者权限足。需要提醒用户这些可能的错误点,以及如何验证证书是否安装成功,比如使用curl或openssl命令测试。 总结下来,步骤应该是:1. 复制证书到指定目录;2. 运行update-ca-trust命令;3. 验证安装。同解释各个步骤的细节和注意事项。</think>以下是使用`update-ca-trust`安装`.cer`后缀证书的步骤详解: --- ### **1. 证书文件准备** - **格式检查** 确保`.cer`证书为 **PEM格式**(文本格式,以`-----BEGIN CERTIFICATE-----`开头)。 若为DER格式(二进制文件),需转换: ```bash openssl x509 -inform DER -in certificate.cer -out certificate.pem ``` --- ### **2. 复制证书到系统目录** - **目标路径** 将证书复制到系统信任CA存储目录: ```bash sudo cp certificate.cer /etc/pki/ca-trust/source/anchors/ ``` ▸ 适用于 RHEL/CentOS/Fedora 等基于 `update-ca-trust` 的系统 ▸ 其他可能目录:`/usr/share/pki/ca-trust-source/` --- ### **3. 更新系统CA信任** - **执行命令** 更新系统证书存储并使其生效: ```bash sudo update-ca-trust ``` ▸ 该操作会合并新证书到系统全局信任库 `/etc/pki/ca-trust/extracted/` --- ### **4. 验证安装** - **方法一:查看证书列表** ```bash awk -v cmd='openssl x509 -noout -subject' '/BEGIN/{close(cmd)};{print | cmd}' < /etc/pki/tls/certs/ca-bundle.crt ``` - **方法二:使用`curl`测试** ```bash curl https://目标域名 ``` 观察是否仍提示证书错误 --- ### **常见问题** 1. **权限足** ▸ 确保证书文件权限为 `644`: ```bash sudo chmod 644 /etc/pki/ca-trust/source/anchors/certificate.cer ``` 2. **命令存在** ▸ 安装必要软件包: ```bash # RHEL/CentOS sudo yum install ca-certificates ``` 3. **格式错误** ▸ 通过 `file certificate.cer` 检查文件类型 ▸ 使用 `openssl x509 -in certificate.cer -text -noout` 验证可读性 --- ### **补充说明** - **生效范围** 该操作会影响 **所有系统用户** 及依赖系统CA存储的应用程序(如curl/wget等) - **容器环境** 若在Docker容器中使用,需在构建镜像执行上述步骤,或挂载证书目录 建议通过实际测试(如访问HTTPS服务)确认证书是否生效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值