В связи с требованиями российского законодательства в области информационной безопасности, многие государственные и финансовые сайты РФ начали использовать сертификаты, выпущенные удостоверяющим центром Минцифры России. Если вы работаете с операционной системой CentOS (или другими дистрибутивами на базе RHEL), ваш сервер или рабочая станция могут не доверять этим новым сертификатам, что приводит к ошибкам SSL/TLS при обращении к таким ресурсам.
В этой статье мы подробно разберем, как правильно установить и настроить корневые доверенные сертификаты Минцифры (Russian Trusted Root CA и Russian Trusted Sub CA) в CentOS, чтобы обеспечить безопасное и бесперебойное соединение с российскими сайтами.
Предварительные требования
- Операционная система CentOS или CentOS Stream (инструкция актуальна и для RHEL, Rocky Linux, AlmaLinux).
- Доступ к командной строке с правами пользователя root или через sudo.
- Установленные пакеты wget, openssl и ca-certificates (обычно они есть по умолчанию).
Пошаговая инструкция по установке сертификатов Минцифры
Процесс установки состоит из четырех основных шагов: загрузка, копирование, обновление и проверка.
Шаг 1: Загрузка корневых сертификатов
Первым делом необходимо скачать сами сертификаты в удобное для вас временную директорию, например, в домашнюю директорию пользователя root.
Выполните следующую команду wget:
| 1 2 | cd /root wget https://s3.regru.cloud/s3-1275/crt/russian_trusted_root_ca.cer https://s3.regru.cloud/s3-1275/crt/russian_trusted_sub_ca.cer |
Эта команда загрузит два файла: russian_trusted_root_ca.cer и russian_trusted_sub_ca.cer.
Шаг 2: Копирование сертификатов в системную директорию
Чтобы система CentOS начала доверять этим сертификатам, их нужно поместить в специальную директорию, где хранятся "якорные" (доверенные) корневые сертификаты.
Скопируйте оба файла командой cp:
| 1 2 | cp russian_trusted_root_ca.cer /usr/share/pki/ca-trust-source/anchors/ cp russian_trusted_sub_ca.cer /usr/share/pki/ca-trust-source/anchors/ |
Важно: Используется именно директория /usr/share/pki/ca-trust-source/anchors/, так как сертификаты в ней добавляются в систему как доверенные "якоря" (anchors).
Шаг 3: Обновление хранилища доверенных сертификатов
Простое копирование файлов недостаточно. Необходимо обновить системное хранилище сертификатов, чтобы CentOS "увидел" новые данные. Это делается одной командой:
| 1 | update-ca-trust |
Эта утилита соберет все сертификаты из директории anchors и других системных мест, сгенерирует необходимое хранилище и применит изменения.
Шаг 4: Проверка установки (опционально, но рекомендуется)
Чтобы убедиться, что сертификаты установились корректно и являются валидными, можно выполнить две проверки.
Проверка 1: Валидность сертификатов через OpenSSL
Запустите проверку загруженных файлов:
| 1 | openssl verify russian_trusted_root_ca.cer russian_trusted_sub_ca.cer |
В случае успеха вы должны увидеть вывод:
| 1 2 | russian_trusted_root_ca.cer: OK russian_trusted_sub_ca.cer: OK |
Проверка 2: Поиск сертификатов в системном хранилище
Более надежный способ - посмотреть полный список доверенных сертификатов в системе:
| 1 | trust list |
Пролистайте вывод команды (он может быть длинным). В самом конце списка вы должны найти записи о добавленных сертификатах:
| 1 2 3 4 5 6 7 8 9 10 11 | pkcs11:id=%E1%D1%81%E5%CE%5A%5F%04%AA%D2%E9%B6%9D%66%B1%C5%FA%AC%2C%87;type=cert type: certificate label: Russian Trusted Root CA trust: anchor category: authority pkcs11:id=%D1%E1%71%0D%0B%2D%81%4E%6E%8A%4A%8F%4C%23%B3%4C%5E%AB%69%0B;type=cert type: certificate label: Russian Trusted Sub CA trust: anchor category: authority |
Наличие этих записей с пометками trust: anchor и label: Russian Trusted... подтверждает, что сертификаты успешно интегрированы в систему как доверенные корневые центры сертификации.
Заключение
Выполнив эти четыре простых шага, вы добавили корневые сертификаты Минцифры России в свою операционную систему CentOS. Теперь любые приложения, использующие системное хранилище сертификатов (например, curl, wget, веб-браузеры, почтовые клиенты), будут корректно работать с сайтами и сервисами, защищенными этими сертификатами, без ошибок о ненадежном SSL-соединении.
Это критически важно для взаимодействия с порталом Госуслуг, сайтами государственных органов, онлайн-банками и другими ресурсами, перешедшими на национальную инфраструктуру открытых ключей.
