Как установить корневой сертификат на mac os

Обновлено: 21.11.2024

Срок действия DST Root CA X3 на Mac истек — это ошибка, которую многие пользователи Mac, вероятно, начали видеть в своих браузерах с 30 сентября. Ошибка DST Root CA X3 is expired на Mac не позволяет пользователям посещать сайты, использующие сертификаты Let’s Encrypt.

В последнее время многие пользователи Mac начали сообщать об одной и той же проблеме со своими браузерами, а именно о появлении сообщения об ошибке при попытке посетить определенные сайты. Отображаемое сообщение об ошибке может различаться — «DST Root CA X3 просрочен» — это только одно из возможных сообщений об ошибке. Другой — «Ваше соединение не является частным» или «Злоумышленники могут попытаться украсть вашу информацию». Хотя сообщения об ошибках/предупреждения, отображаемые в браузере, могут различаться, основная проблема остается прежней: недавнее истечение срока действия широко распространенного сертификата DST Root CA X3, созданного некоммерческой организацией Let’s Encrypt. Многие популярные сайты используют этот сертификат, и после истечения срока его действия некоторые (не все) пользователи перестали посещать эти сайты.

Фактор, который отличает компьютеры Mac, которые могут, и компьютеры Mac, которые не могут посещать такие сайты, — это версия macOS, установленная на каждом компьютере. У компьютеров Mac с macOS 10.12.1 или более поздней версии не должно возникнуть проблем с истечением срока действия этого сертификата. Однако, если на вашем Mac по-прежнему работает El Capitan (macOS 10.11) или более старая версия macOS, возможно, вы начали сталкиваться с различными проблемами в своих браузерах, которые не позволяют вам открывать сайты, которые вы хотите посетить.

Основная причина всего этого заключается в том, что срок действия сертификата DST Root CA X3 с истекшим сроком действия позволял более старым компьютерам распознавать сертификаты Let’s Encrypt. Однако DST Root CA X3 был создан еще в 2015 году, и срок его действия истек 30 сентября этого года. После этой даты только компьютеры Mac с версиями macOS, выпущенными после 2015 года, могут распознавать сертификаты Let’s Encrypt и посещать сайты, которые их используют.

Мы понимаем, насколько это может раздражать, особенно если вы используете старую машину, которую невозможно обновить после El Capitan. В некоторых случаях истечение срока действия этого столь важного корневого сертификата может означать, что старый компьютер Mac станет почти непригодным для просмотра. В то же время в мире осталось много таких компьютеров Mac, которые используются в рабочих средах, и поэтому их устаревание с точки зрения их способности просматривать Интернет может стать серьезной проблемой. Хорошая новость заключается в том, что могут быть некоторые решения этой проблемы — по крайней мере, на данный момент. Хотя в определенный момент в будущем вам может понадобиться более новый компьютер, который может поддерживать последние версии macOS, с помощью предложенного ниже метода вы сможете восстановить способность вашего Mac просматривать Интернет и посещайте нужные сайты, не сталкиваясь с ошибкой Mac DST Root CA x3 с истекшим сроком действия.

Исправление DST Root CA X3 для Mac с истекшим сроком действия

Исправление DST Root CA X3 с истекшим сроком действия (Mac) заключается в том, чтобы вручную загрузить, установить и «доверить» новому сертификату ISRG Root X1 на вашем Mac. Альтернативным решением с истекшим сроком действия DST Root CA X3 (Mac) может быть использование Firefox, так как у него есть собственный список сертификатов.

Однако прежде чем мы двинемся дальше, важно отметить, что лучшим решением будет просто обновить macOS до более новой версии, чем El Capitan (10.11), если это возможно на вашем Mac. С более новой macOS истечение срока действия сертификата Root X3 не будет проблемой. Самая старая версия macOS, которая позволяла бы вам посещать сайты, использующие сертификаты Let’s Encrypt, и не имела бы проблем с истечением срока действия сертификата Root CA X3 — это macOS 10.12.1 (High Sierra). Следующие компьютеры Mac поддерживаются для High Sierra, поэтому, если ваша модель Mac попадает в этот список, скорее всего, вы сможете обновить ее macOS.

  • MacBook Pro (2010 г. и новее)
  • MacBook (конец 2009 г. и позже)
  • MacBook Air (2010 г. и новее)
  • iMac (конец 2009 года и позже)
  • Mac Pro (2010 г. и новее)
  • Mac Mini (2010 г. и новее)

Чтобы обновить macOS вашего Mac, просто перейдите в меню Apple Logo, откройте «Системные настройки» > «Обновление ПО» и нажмите кнопку «Обновить сейчас», которая должна быть доступна в следующем окне. Затем следуйте инструкциям на экране, и когда вы закончите, ваша macOS должна быть обновлена ​​до последней версии, которую может поддерживать компьютер.

Теперь, для тех из вас, у кого Mac старше моделей из списка выше, как уже было сказано, есть два варианта, которые вы можете попробовать, чтобы ваш Mac мог свободно посещать сайты, использующие сертификаты Let's Encrypt: либо вручную установите новый ISGR Root X1, либо используйте Mozilla Firefox в качестве основного браузера.

Ручная установка сертификата ISGR Root X1

После этого у вас больше не должно быть проблем с доступом к сайтам с сертификатами Let’s Encrypt.

Если моя работа была полезна, следующая ссылка предназначена только для тех, у кого есть средства и кто хочет выразить свою благодарность.

Установка Mozilla Firefox

Firefox известен тем, что использует собственный список сертификатов, а не тот, что исходит от Apple/macOS, поэтому использование этого браузера позволяет пользователям, у которых на компьютерах Mac установлена ​​El Capitan или более ранняя версия macOS, по-прежнему получать доступ к сайтам, которые в противном случае недоступен с помощью Safari или любого браузера на основе Chromium. Если по какой-то причине предыдущий метод с ручным добавлением нового сертификата у вас не сработал и если ваш Mac не может обновиться до более поздней версии macOS, это, вероятно, ваш единственный оставшийся вариант. Однако имейте в виду, что хотя использование Firefox на данный момент является приемлемым решением, в будущем это может измениться, и ваш Mac больше не сможет посещать сайты, сертифицированные Let’s Encrypt.

В этой статье подробно рассказывается, как установить сертификаты в OS X El Capitan.

Mac OS X El Capitan: как установить промежуточный сертификат

  1. Сохраните ZIP-файл your_domain_com.zip на своем сервере и извлеките файл SSL-сертификата (your_domain_com.crt) и файл промежуточного сертификата (XYZ.crt) в папку.
  2. Открыть доступ к связке ключей.

В окне Finder в разделе "Избранное" нажмите "Приложения", разверните "Утилиты", а затем дважды нажмите "Связка ключей".

Mac OS X El Capitan: как установить SSL-сертификат

  1. Откройте папку, содержащую файл сертификата SSL (yourdomain_com.crt).

Держите эту папку открытой, чтобы вы могли легко получить доступ к этому файлу.

В окне Finder в разделе «Избранное» нажмите «Приложения», а затем дважды нажмите «Сервер».

Mac OS X El Capitan: как назначить свой SSL-сертификат службам

Например, в раскрывающемся списке Сертификат для веб-сайтов (веб-сайт сервера — SSL) выберите новый сертификат SSL.

Следующий технический документ

Связанные темы

Sectigo — ведущий поставщик решений для цифровой идентификации в области кибербезопасности, включая сертификаты TLS/SSL, DevOps, IoT и управление PKI корпоративного уровня, а также многоуровневую веб-безопасность. Являясь крупнейшим в мире коммерческим центром сертификации с более чем 700 000 клиентов и более чем 20-летним опытом онлайн-доверия, Sectigo сотрудничает с организациями любого размера, чтобы предоставлять автоматизированные общедоступные и частные решения PKI для защиты веб-серверов, доступа пользователей, подключенных устройств и приложений. Компания Sectigo, получившая признание за отмеченные наградами инновации и лучшую в своем классе глобальную поддержку клиентов, обладает проверенной производительностью, необходимой для защиты цифрового ландшафта сегодня и завтра.

Быстрые ссылки

Ресурсы

Компания

Юридическая информация

  • Условия использования
  • Политика конфиденциальности
  • Примечание о конфиденциальности CCPA
  • Политика в отношении файлов cookie
  • Портал конфиденциальности
  • Юридическая информация

© 2022 Sectigo Limited. Все права защищены.

Sectigo® и связанный с ним логотип являются товарными знаками Sectigo, зарегистрированными на федеральном уровне, а другие товарные знаки, используемые здесь, принадлежат их соответствующим владельцам и могут быть зарегистрированы.

Мне трудно получить доступ к различным защищенным веб-сайтам. Мне выдают ошибку с истекшим сроком действия сертификата. Они работают в Firefox, но не в Safari или Chrome. Они также работают с более новыми версиями macOS (например, Catalina, Big Sur). Похоже, это связано с тем, что Safari и Chrome используют корневое хранилище сертификатов ОС, а Firefox — свое собственное, а El Capitan не обновляется.

  • Доверенные сертификаты создают цепочку доверия, которая проверяет другие сертификаты, подписанные доверенными корнями, например, для установления безопасного подключения к веб-серверу. Когда ИТ-администраторы создают профили конфигурации, эти доверенные корневые сертификаты не нужно включать.
  • Сертификаты Always Ask не являются доверенными, но не блокируются. При использовании одного из этих сертификатов вам будет предложено выбрать, доверять ему или нет.
  • Заблокированные сертификаты считаются скомпрометированными, и им никогда нельзя доверять.

Там есть список отпечатков текущих сертификатов, но нет загружаемых наборов сертификатов.

Как обновить корневые сертификаты в более старой версии OS X 10.11

2 ответа 2

Самый простой способ сделать это — перенести системные корневые сертификаты с другого компьютера Mac, к которому у вас есть доступ и который работает под управлением более современной версии macOS. (Почему бы просто не загрузить их? См. примечание в конце этого ответа.)

  1. Сначала найдите более современный Mac с рабочим набором системных корневых сертификатов (т. е. с доступом к проблемным веб-сайтам)
  2. На этом Mac запустите Keychain Access, выберите «Системные корни», выберите все сертификаты, выберите «Файл» -> «Экспорт» и экспортируйте их как файл rootcerts.pem.Этот файл будет содержать все объединенные сертификаты.
  3. Скопируйте файл rootcerts.pem на свой старый Mac.
  4. Создайте приведенный ниже сценарий оболочки trustroot, например. скопировав его в файл, а затем используя chmod 755 trustroot
  5. Запустите sudo ./trustroot rootcerts.pem

Сценарий разбивает файл .pem на несколько сертификатов в соответствующем временном каталоге, а затем добавляет их как сертификаты trustRoot в цепочку системных ключей; затем они будут работать как доверенные корни в дополнение к сертификатам в исходной цепочке ключей «Системные корни». Если вам интересно, вы не можете добавить их в цепочку ключей System Roots, так как она может обновляться только операционной системой.

Обратите внимание, что копируется первая группа сертификатов ("Доверенные сертификаты" в вопросе), но не вторая и не третья.

Эта статья содержит инструкции по резервному копированию SSL-сертификатов в Mac 10.7 в файл .p12. Он также содержит инструкции по импорту файлов сертификатов .p12 и .pfx.

Инструкции по переносу файлов сертификатов Mac 10.9 см. в статье Mac OS X Mavericks: экспорт и импорт сертификатов SSL.

Экспорт/резервное копирование в файл .p12

Откройте Диспетчер доступа к связке ключей. В разделе «Связки ключей» выберите «Система», а в разделе «Категория» выберите «Мои сертификаты». Затем выберите свой сертификат.

Выберите «Файл» > «Экспортировать элементы».

Установите пароль для файла.

Введите пароль администратора для авторизации изменений.

Теперь ваш сертификат сохранен в виде файла .p12.

Импорт из файла .p12 или .pfx

Откройте Диспетчер доступа к связке ключей. Выберите «Файл» > «Импорт элементов».

Перейдите к файлу .p12 или .pfx, который вы хотите импортировать, и откройте его.

Выберите «Система» в раскрывающемся списке «Связка ключей» и нажмите «Добавить».

Введите пароль администратора для авторизации изменений

Введите пароль, созданный при создании файла .p12/.pfx, и нажмите «Изменить связку ключей».

Далее выполните указанные ниже действия, чтобы назначить новый сертификат службам.

Назначение нового сертификата службам

Откройте администратор сервера.

Перейдите в Интернет > Безопасность > Включить протокол защищенных сокетов (SSL).

Выберите сертификат, выданный вашему сайту, из раскрывающегося меню, чтобы назначить службы.

Читайте также: