Env:
Red Hat Enterprise Linux Server release 7.7 (Maipo)
# openssl version
OpenSSL 1.0.2g 1 Mar 2016
, поэтому с помощью OpenSSL генерируется самоподписанный сертификат, а cacert.pem помещается в /etc/pki/ca-trust/source/anchors/.
Теперь в соответствии с человеком из update-ca-trust, cmd должен быть запущен для добавления сертификата в хранилище доверенных сертификатов, а сертификат должен быть добавлен в /etc/pki/ca-trust/extracted/.
После запуска указанного cmd я вижу, что сертификат добавляется только к /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt. Но большинство приложений, таких как curl, ссылаются на доверие ОС в /etc/pki/ca-trust/extracted/openssl/ca-bundle.crt, которое ссылается на /etc/pki/tls/certs/ca-bundle.crt.
curl -v https://172.21.19.92/api
* About to connect() to 172.21.19.92 port 443 (#0)
* Trying 172.21.19.92...
* Connected to 172.21.19.92 (172.21.19.92) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
Я понимаю, что пропуск опции --cacert был бы способом преодолеть это, но яхотите знать, почему update-ca-trust только обновляет ca-bundle-trust.crt, а не ca-bundle.crt, или java Keystore также извлек один /etc/pki/ca-trust/extracted/java/cacerts