在数字化时代，HTTPS加密通信已成为网站安全的标配。而这一切的信任基础，都源于一个看似不起眼却至关重要的组件——根证书。对于Linux用户来说，正确下载和管理HTTPS根证书是确保系统安全通信的第一步。本文将以通俗易懂的方式，结合实例讲解Linux环境下如何下载、验证和使用HTTPS根证书。

一、什么是HTTPS根证书？为什么需要它？

想象一下，你要给朋友寄一封机密信件。为了确保信件不被偷看，你们约定用只有彼此知道的密码锁（HTTPS加密）。但问题来了：你怎么确定送信的人真的是你朋友，而不是骗子冒充的？

这就是根证书的作用！它像是一个“官方印章”，由权威机构（如DigiCert、Let's Encrypt）颁发，用来验证网站的身份。Linux系统通过预装这些机构的根证书库（CA Certificates），自动信任与之关联的网站。

举个实际案例：

当你在Linux终端输入`curl https://example.com`时，系统会检查该网站的证书是否由受信任的根证书签发。若没有正确安装根证书，可能会报错：

```

curl: (60) SSL certificate problem: unable to get local issuer certificate

二、Linux下载根证书的3种方法

方法1：使用系统包管理器安装（推荐）

大多数Linux发行版已内置常见根证书包（如`ca-certificates`），只需更新即可：

```bash

Debian/Ubuntu

sudo apt update && sudo apt install ca-certificates

CentOS/RHEL

sudo yum install ca-certificates

Arch Linux

sudo pacman -S ca-certificates

验证是否成功：

检查`/etc/ssl/certs/`目录下是否有大量`.pem`文件（如`DigiCert_Global_Root_CA.pem`）。

方法2：手动下载并添加单个根证书

某些企业内网或私有CA可能需要手动导入证书。以下载DigiCert根证书为例：

下载证书（假设URL为https://cacerts.digicert.com/DigiCertGlobalRootCA.crt）

wget https://cacerts.digicert.com/DigiCertGlobalRootCA.crt -O DigiCertRoot.crt

复制到系统信任库

sudo cp DigiCertRoot.crt /usr/local/share/ca-certificates/

sudo update-ca-certificates

关键点：

- 文件必须为`.crt`或`.pem`格式。

- `update-ca-certificates`命令会重建系统的证书链索引。

方法3：浏览器导出并导入到Linux

如果你在浏览器中信任了某个网站（如公司内部站点），可以导出其根证书：

1. Chrome/Firefox中点击地址栏的锁图标 → “查看证书” → 导出顶层CA的`.cer`文件。

2. 在Linux中转换为PEM格式并导入：

```bash

openssl x509 -inform DER -in exported.cer -out rootca.pem

sudo cp rootca.pem /etc/ssl/certs/

```

三、常见问题与排查技巧

场景1：curl/wget报错“certificate verify failed”

- 原因：系统缺少目标网站的根证书。

- 解决：临时绕过验证（不推荐生产环境）：

```bash

curl --insecure https://example.com

风险！仅用于测试

```

正确做法是补全缺失的根证书。

场景2：自签名证书导致的问题

企业内部工具常使用自签名证书，需手动信任：

将自签名证书加入本地信任库

echo | openssl s_client -connect internal-site:443 2>/dev/null | openssl x509 > custom.crt

sudo mv custom.crt /usr/local/share/ca-certificates/

sudo update-ca-certificates --fresh

四、安全最佳实践

1. 定期更新：运行`sudo apt upgrade ca-certificates`或等效命令，确保吊销列表（CRL）最新。

2. 最小化信任原则：仅添加必要的CA，避免引入风险源。例如2025年荷兰CA DigiNotar被黑事件导致大量虚假签证书泛滥。

3. 日志监控：通过工具如`journalctl -u ca-certificates`检查更新日志。

*

HTTPS根 certificates就像互联网世界的“护照签发机构”，而Linux系统的正确处理是安全通信的地基。无论是开发、运维还是普通用户，理解其原理和操作方法都能有效规避“中间人攻击”等风险。下次遇到SSL错误时，不妨从本文的方法中找找灵感吧！

> 延伸思考：如果你管理的是云服务器集群，可以考虑用Ansible批量部署自定义CA证书哦！

TAG:linux下载https根证书,linux安装证书,linux 导入根证书,linux如何安装证书,linux安装cer证书,linux怎么安装证书