আরএইচইএল আসলে সিএ ট্রাস্টের উদ্দেশ্যে 'শংসাপত্র ডিরেক্টরি' হিসাবে ব্যবহৃত হতে পারে এমন কোনও কিছুই সরবরাহ করে না। ওপেনএসএসএল-এর জন্য একটি শংসাপত্র ডিরেক্টরি - একটি 'ক্যাপথ' - স্বতন্ত্র শংসাপত্রের ফাইলগুলি (পিইএম ফর্ম্যাট বা ওপেনএসএসএল এর বর্ধিত 'বিশ্বাসযোগ্য শংসাপত্র' ফর্ম্যাটে) সহ একটি ডিরেক্টরি যা শংসাপত্রের বিষয়বস্তুর নামের একটি হ্যাশের উপর ভিত্তি করে একটি নির্দিষ্ট বিন্যাসে নাম রয়েছে। সাধারণত এটি .pem
একটি ডিরেক্টরিতে মানব-পঠনযোগ্য নাম এবং এক্সটেনশানগুলির সাথে ফাইলগুলি রেখে এবং c_rehash
এটিতে চালানো দ্বারা অর্জন করা হয় (দেখুনman c_rehash
)। Nu.৩. since থেকে GnuTLS এর জন্য (এর আগে GnuTLS এর কোনও ডিরেক্টরি সমর্থন ছিল না), এটি কেবলমাত্র PEM ফাইলগুলির সাথে একটি ডিরেক্টরি; GnuTLS ডিরেক্টরিতে প্রতিটি ফাইল চেষ্টা করে লোড করবে এবং PEM-ish- তে কোনও কিছুতে সফল হবে (এটি ওপেনএসএসএল এর 'বিশ্বস্ত শংসাপত্র' ফর্ম্যাটটি পরিচালনা করতে পারে না)। আমি সত্যই নিশ্চিত নই যে এনএসএস প্রকৃতপক্ষে স্বতন্ত্র শংসাপত্রের ফাইলগুলি পূর্ণ কোনও ডিরেক্টরি কোনও বিশ্বাসের রুট হিসাবে ব্যবহার করতে পারে তবে ওপেনলডিএপি-র ডকুমেন্টেশনটি এটি করতে পারে বলে মনে হয় (তবে ডিরেক্টরিতে যদি কোনও এনএসএস ডাটাবেস থাকে তবে এটি অগ্রাধিকার দেবে)। নির্বিশেষে, RHEL এর পৃথক সিএ শংসাপত্র ফাইলগুলি পূর্ণ ডিরেক্টরি হিসাবে কিছুই নেই।
ডেবিয়ান এবং ডেরিভেটিভগুলি /etc/ssl/certs
এই ফর্ম্যাটটিতে সরবরাহ করে; /etc/ssl/certs
ডেবিয়ান উপর ক্যানোনিকাল ট্রাস্ট দোকান অবস্থান, এবং আইএমও কিছু এটি মূলত এটা ডেবিয়ান মত খুঁজে রাখা উচিত উপলব্ধ যে হিসাবে ডেবিয়ান এর ডিরেক্টরিটি যেহেতু মত 1999 RHEL টি বেশী বা কম একই ভাবে আউট শিলান্যাস করা হয়েছিল /etc/ssl/certs
ডিরেক্টরি, কিন্তু এটা হয় এই বিন্যাসে নয় - এটিতে কোনও স্বতন্ত্র শংসাপত্রের ফাইলগুলি মোটেই নেই। আপনি এটিকে ক্যাপথ হিসাবে ব্যবহার করতে পারবেন না। সত্যি বলতে, আরএইচইএল (এবং ফেডোরা এবং ডেরিভেটিভস) -এ ডিরেক্টরিটি মূলত একটি ফাঁদ। এটি ব্যবহার করবেন না। ( Https://bugzilla.redhat.com/show_bug.cgi?id=572725 এবং https://bugzilla.redhat.com/show_bug.cgi?id=1053882 দেখুনএটি কেন প্রথম স্থানে রয়েছে এবং আমি কীভাবে এটি সংশোধন করার চেষ্টা করছি) এর কিছু ব্যাকগ্রাউন্ডের জন্য। সুতরাং আমি মনে করি আপনি কী করছেন সে সম্পর্কে আপনি সঠিক, তবে এর কারণটি সম্পর্কে ভুল। ওপেনলডিপ কোনও ভুল করছে না, এবং এটি ব্যর্থ হচ্ছে না কারণ "সিএ-বান্ডেল.টাস্ট.সিআরটি ... একটি মজিলা এনএসএস সার্টিফিকেট / কী ডাটাবেস" (এগুলি বলা হয় cert8/9.db
এবং key3/4.db
, এবং আরএইচইএল- এ সিস্টেম-ব্যাপী যেগুলি লাইভ থাকে /etc/pki/nssdb
) , এটি কেবল ব্যর্থ হয়েছে কারণ /etc/ssl/certs
'শংসাপত্র ডিরেক্টরি' হিসাবে মোটেই ব্যবহারযোগ্য নয়।
আরএইচএল অন্য কোথাও ক্যাপথ-স্টাইলের বিশ্বাসের স্টোর হিসাবে ব্যবহারযোগ্য কিছু সরবরাহ করে না। RHEL সিস্টেম ট্রাস্ট দোকান একটি একক অবশ্যই PEM বান্ডিল ফাইল (ক দ্বারা OpenSSL পরিপ্রেক্ষিতে 'CAFile') এ পাওয়া যাবে, যা হিসাবে প্রদান করা হয় /etc/pki/tls/certs/ca-bundle.crt
এবং /etc/pki/tls/cert.pem
। এটি আসলে /etc/ssl/certs/ca-bundle.crt
যেমনটি /etc/ssl/certs
কেবল একটি সিমলিংক হিসাবে পাওয়া যায় তেমন পাওয়া যায় /etc/pki/tls/certs
, তবে সেই অবস্থানটি প্রচলিত নয় এবং সত্যিই কখনও কোনও জিনিস ব্যবহার করা উচিত নয়। আরএইচইএল ওপেনএসএসএল এর 'বিশ্বস্ত শংসাপত্র' ফর্ম্যাটে একটি বান্ডিল সরবরাহ করে /etc/pki/tls/certs/ca-bundle.trust.crt
।
করণীয় হিসাবে সঠিক জিনিসটি যেমনটি আপনি বুঝতে পেরেছেন তা হ'ল সিস্টেম সরবরাহ করে বান্ডিল ফাইলটি ব্যবহার করা। আপনার উত্তরটি কার্যকর হবে, তবে উপরে উল্লিখিত কারণগুলির জন্য, আমি দৃ strongly়ভাবে সুপারিশ করব TLS_CACERT=/etc/pki/tls/certs/ca-bundle.crt
বা TLS_CACERT=/etc/pki/tls/cert.pem
তার বেশি করব TLS_CACERT=/etc/ssl/certs/ca-bundle.crt
।
(বিটিডব্লিউ, এর কোনওটিতেই দূর থেকে নতুন কিছু নেই, তবে আন্তঃবিবাহ সম্পর্কে বিভ্রান্তি বিস্তৃত R আরএইচ এবং ডেরিভেটিভগুলি কখনও কখনও কোনও ডিরেক্টরি-সম্পূর্ণ-শংসাপত্র সরবরাহ করেনি। তারা 2000 সাল থেকে একটি বান্ডিল ফাইল সরবরাহ করে নি It এটি ছিল , / usr / ভাগ থেকে সরানো / SSL / etc / pki / TLS 2005 সালে ডেবিয়ান উভয় করেছে /etc/ssl/certs
একটি CApath ধাঁচের ডিরেক্টরি এবং /etc/ssl/certs/ca-certificates.crt
একটি বান্ডিল ফাইল বেশী বা কম পাথর বয়স থেকে যেমন।)