讓我們加密證書更改如何影響即時修補客戶

Let's Encrypt認證鏈中的根證書過期會導致多個問題，尤其是與舊版本的OpenSSL（如CentOS 7）結合使用時。

如果該版本中的 OpenSSL 行為在證書路徑中的任何位置發現「錯誤」（讀取：過期）證書，則驗證失敗。這會產生連鎖反應，使與KernelCare伺服器的連接失敗。我們鼓勵 CentOS 7 上的 KernelCare （任何版本）等即時修補服務的使用者更新 CA 證書包，該軟體包會刪除受影響的證書，從而允許即時修補客戶端恢復正常工作。

在 Let's Encrypt 證書鏈（DST 根 CA X3）中過期的根證書將保留在鏈中，直到 2024 年。最新版本的 OpenSSL 會正確忽略過期的證書，並使用鏈中存在的備用證書進行驗證，但舊版本的 OpenSSL 將無法通過驗證。這會導致嚴重的問題;TLS 連接將在不該失敗時失敗。不幸的是，命運的轉折是，“certbot”實用程式本身將無法更新鏈並續訂Let's Encrypt證書（這將解決問題）。

在 CentOS 7 中，已經有一個更新的 ca-certificates 包，通過刪除過期的證書來解決這個問題，這會導致 OpenSSL 不再無法通過 KernelCare 伺服器證書的驗證。如果你的系統運行 CentOS 7，你應該儘快更新此軟體包，以修復與失敗的連接相關的任何問題。請注意，這會影響許多其他軟體包，而不僅僅是 KernelCare 特有的問題，因此強烈建議在任何情況下更新 CA 證書。

使用以下命令更新 CA 憑證：

百勝更新 -y CA 證書

如果您在更新 CA 證書後系統無法存取我們的伺服器仍然存在問題，請 在此處聯繫我們的支援。

如果您想以其他方式解決此問題，您可以手動將證書列入黑名單。但是，如果更新 CA 證書包，則無需執行此操作。

以下命令將過期證書列入黑名單：

cp -i /etc/pki/tls/certs/ca-bundle.crt ~/ca-bundle.crt-backup

信任轉儲 –過濾器 “pkcs11：id=%C4%A7%B1%A4%7B%2C%71%fa%db%E1%4B%90%75%FF%C4%15%60%85%89%10” |OpenSSL x509 |sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem

sudo update-ca-trust extract

[來源： https://blog.devgenius.io/rhel-centos-7-fix-for-lets-encrypt-change-8af2de587fe4]