2021/10/13 (水)

第50候、菊花開(きくのはなひらく)。
農水省さんの英訳は The Chrysanthemum Flowers.
今年の旧暦九月九日の重陽の節句は明日の 10/14 ですね。

今日はようやく最高気温が20度を下回るらしい南関東。
でも九州は30度こえるそうで。。。

2021-10-13:vault.centos.org と letsencrypt ca 証明書問題

無料の証明書発行サービス Let’s Encrypt の使用していたルート証明書 DST Root CA X3 が9月末に切れた問題が vault.centos.org に波及していることに気付く。

昨年11月30日にサポートが終了した CentOS6 だけども、いまでもけっこうな数が現地運用されていて、レポジトリ URL を mirrorlist.centos.org から vault.centos.org に書き換えれば yum コマンドを使い続けられるよ、というのはよく知られたハック。
ただし、yum コマンドはその中で指定された URL から wget で rpm ファイル取得しようとするので、↑の DST Root CA X3 期限切れに伴い、

vault.centos.org が信頼できんわ

を処理に失敗してしまう。

クライアント側に有効な CA 証明書がないから検証できないという問題なので、解決のためには有効な CA 証明書があればいい。
vault.centos.org には更新用の ca-certificates RPM があり、これを取得して更新インストールする。
yum だと証明書エラーでコケるので、手動で(証明書エラーを無視して)wget で RPM を取得して rpm -Uvh で入れる。
依存関係から p11-kit, p11-kit-trust も要求されるので、これらも wget の上、先に rpm -Uvh しておく。

# wget --no-check-certificate https://vault.centos.org/centos/6/updates/x86_64/Packages/ca-certificates-2020.2.41-65.1.el6_10.noarch.rpm
# wget --no-check-certificate https://vault.centos.org/centos/6/os/x86_64/Packages/p11-kit-0.18.5-2.el6_5.2.x86_64.rpm
# wget --no-check-certificate https://vault.centos.org/centos/6/os/x86_64/Packages/p11-kit-trust-0.18.5-2.el6_5.2.x86_64.rpm
# rpm -Uvh p11-kit-0.18.5-2.el6_5.2.x86_64.rpm p11-kit-trust-0.18.5-2.el6_5.2.x86_64.rpm
# rpm -Uvh ca-certificates-2020.2.41-65.1.el6_10.noarch.rpm

これで wget で vault.centos.org から証明書エラーなく rpm ファイルが取得できるようになり、yum コマンドが復活。

comment