当信任链以系统不信任的自签名证书结尾时,将会出现以下错误。
pkg install: Chain was rooted in an untrusted self-signed certificate. The package involved is:pkg://test/example_pkg@1.0,5.11-0:20110919T185335Z
当您使用 OpenSSL 创建一个证书链以进行测试时,根证书通常是自签名,因为几乎没有理由让一个外部公司验证只用于测试的证书。
在测试情况下,有两种解决方案:
第一个解决方案是将作为信任链的根的自签名证书添加到 /etc/certs/CA 并刷新 system/ca-certificates 服务。这反映了客户可能遇到的情况,其中生产软件包由某个证书签名,该证书最终源于操作系统附带的作为信任锚的证书。
第二个解决方案是批准发布者的自签名证书,该发布者使用 --approve-ca-cert 选项和 pkg set-publisher 命令提供测试的软件包。