Создайте директорию:
# mkdir /usr/local/share/ca-certificates/
Cкопируйте сертификат:
# cp /usr/share/ca-certificates/ca-root.crt /usr/local/share/ca-certificates/ca-root.crt
Повторите установку:
# update-ca-certificates -v
Создал, добавил, обновил, но пока результата нет
calculate administrator # ls -l /etc/ssl/certs | grep ca.root
lrwxrwxrwx 1 root root 11 окт 10 08:49 73e21935.0 -> ca-root.pem
lrwxrwxrwx 1 root root 44 окт 10 08:49 ca-root.pem -> /usr/local/share/ca-certificates/ca-root.crt
Ну, причина ведь может быть и в том, что необходимые адреса блокируются, ведь на то ЕСПД для образовательных организаций и придуман был - фильтровать 
Вы, перед попыткой/ проверкой в консоли, фильтрацию с помощью авторизации в гос.услугах отключаете?
Нет, не отключал ничего. сейчас как раз на ученических пробовал настраивать, а там как раз КФ и нужна. Попробую в ростелеком позвонить, может развеят/подтвердят блокировку данных адресов.
Возникла мысль одна, если взять на машине с виндой пинг и трасер запустить до адресов с обновлениями при включенном прокси, поможет это определить фильтрацию?
И еще, минутка наблюдений. Сегодня попробовал на других машинах проделать те же операции.
На одной машине делал все через терминал(т.е. прокси и сертификат) интернет не появился до тех пор, пока не настроил прокси в параметрах сети и сертификат в хроме.
На второй прокси через терминал, сертификат через браузер. Опять же, только когда донастроил прокси в параметрах не работало.
На третьей прокси настроил в параметрах, сертификат через терминал, и опять - пока не добавил сертификат в хром руками не запустилось.
Получается, что пока не пропишешь прокси в параметрах и не добавишь серт в браузере - интернет не работает.
Ну, консоль это консоль, а GUI - GUI.
Заморочиться что ли, поднять по быстрому гостевую систему с “Calculate Linux” и попробовать поковырять консоль и получить хоть какие-нибудь результаты работы в ЕСПД?
Надо выделить время, правда, школьный сервер еле дышит и ещё одну гостевую систему может и не потянуть.
Так, вот, что получилось на данный момент…
По быстрому развернул гостевую систему, подкинул корневой сертификат ЕСПД и получил:
# cl-update --scan
Синхронизация репозиториев
* Поиск нового сервера обновлений ... [ ok ]
* Проверка обновлений Distros ... [ ok ]
* Синхронизация Distros репозитория ...
* Git завершил работу с ошибкой: fatal: unable to access 'https://git.calculate-linux.org/calculate/distros-overlay/': SSL certificate problem: self-signed certificate
* Не удалось найти сервер бинарных обновлений
* Не удалось обновить
Тут всё ясно-понятно, поэтому идём и смотрим:
$ openssl s_client -connect git.calculate-linux.org:443 | head -8
Connecting to 217.79.0.34
depth=0 CN=Web secure CA
verify error:num=18:self-signed certificate
verify return:1
depth=0 CN=Web secure CA
verify return:1
CONNECTED(00000003)
---
Certificate chain
0 s:CN=Web secure CA
i:CN=Web secure CA
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Dec 19 23:59:29 2022 GMT; NotAfter: Dec 16 23:59:29 2032 GMT
---
И, вот это:
depth=0 CN=Web secure CA
, означает то, что соединение фильтруется и станцию требуется разлочивать через гос.услуги.
С авторизацией в гос.услугах и открытием доступа, для утилиты обновления в консоли, проверю позже.
Проверил, работает!
Авторизовался в гос.услугах, и получил:
$ openssl s_client -connect git.calculate-linux.org:443 | head -12
Connecting to 217.79.0.34
depth=2 C=US, O=Internet Security Research Group, CN=ISRG Root X1
verify return:1
depth=1 C=US, O=Let's Encrypt, CN=E5
verify return:1
depth=0 CN=git.calculate-linux.org
verify return:1
CONNECTED(00000003)
---
Certificate chain
0 s:CN=git.calculate-linux.org
i:C=US, O=Let's Encrypt, CN=E5
a:PKEY: id-ecPublicKey, 256 (bit); sigalg: ecdsa-with-SHA384
v:NotBefore: Aug 12 06:26:35 2024 GMT; NotAfter: Nov 10 06:26:34 2024 GMT
1 s:C=US, O=Let's Encrypt, CN=E5
i:C=US, O=Internet Security Research Group, CN=ISRG Root X1
a:PKEY: id-ecPublicKey, 384 (bit); sigalg: RSA-SHA256
v:NotBefore: Mar 13 00:00:00 2024 GMT; NotAfter: Mar 12 23:59:59 2027 GMT
---
И, как результат всего проделанного:
# cl-update
Синхронизация репозиториев
* Поиск нового сервера обновлений ... [ ok ]
* Проверка обновлений Distros ... [ ok ]
* Синхронизация Distros репозитория ... [ ok ]
* Проверка обновлений Calculate ... [ ok ]
* Синхронизация Calculate репозитория ... [ ok ]
* Проверка обновлений Gentoo ... [ ok ]
* Синхронизация Gentoo репозитория ... [ ok ]
* Обновление индекса пакетов ... [ ok ]
* Проверка подписи индекса пакетов ... [ ok ]
* Обновление кэша eix для репозиториев Distros, Calculate, Gentoo ... [ ok ]
* Обновление кэша настраиваемых пакетов ... [ ok ]
* Удаление устаревших архивов и бинарных пакетов ... [ ok ]
* Синхронизация завершена
Конфигурация системы
* Сервер обновлений изменён на http://mirror.mephi.ru/calculate
* Исправление настроек ... [ ok ]
* Обновление конфигурационных файлов ... [ ok ]
Обновление пакетов
* Вычисление зависимостей ...
* Система находится в актуальном состоянии
* Получение пакетов ... [ ok ]
Очистка системы от ненужных пакетов
* Вычисление зависимостей ... [ ok ]
Пересборка зависимых модулей
* Обновление конфигурационных файлов ... [ ok ]
* Обновление системы завершено!
Спасибо.
Но тут возникает ньюанс. Если машины ученические и авторизоваться через ГУ, то тогда теряется смысл КФ.
Отключение контентной фильтрации с рабочих мест административного и педагогического персонала(сайт Ростелекома)
Здесь наверное нужно пробовать составлять заявку на добавление в исключение или что-то подобное. К сожалению не смог сегодня дозвониться в местный ростелеком.
В любом случае огромное спасибо, много чего узнал и научился.
Ну так ведь не ученики будут обновлять систему, верно?
Подсел администратор, авторизовался системной, локальной ли, доменной ли УЗ, авторизовался в гос.услугах, выполнил обновление, разлогинился.
Как вариант, можете поднять зеркало репозитория в локальной сети и выполнять обновление с него, это будет самым лучшим решением;
Попробуйте, но что-то сомневаюсь, что кто-то там, в Ростелекоме, это сделает и вообще Вас поймут и услышат;
Вы путаете отключение контентной фильтрации на постоянной основе (по конкретному IP-адресу) со временной разблокировкой после/ с помощью авторизации в гос.услугах.
Подсел администратор, авторизовался системной, локальной ли, доменной ли УЗ, авторизовался в гос.услугах, выполнил обновление, разлогинился.
Такой вопрос, домена нет, локальные, если сделать 2 учетки, ученик и пусть будет админ. В админе если я авторизуюсь и разлогиниваться не буду на учетку ученика это же не должно распространяться?
Попробую завтра авторизоваться
Вы путаете отключение контентной фильтрации на постоянной основе (по конкретному IP-адресу) с временной разблокировкой после/ с помощью авторизации в гос.услугах.
Не просто путаю, я “плаваю” в этом вопросе(а точнее утопаю).
У нас же как, все нужно и сразу, с дедлайном вчера. вот и бегаешь как ошпаренный, толком не вникаешь, не знаешь за что хвататься.
Вот на этом сайте имеется некоторая информация, если, вдруг, он Вам не знаком;
Согласно описанию со страницы:
Добрый день.
Что-то не удается мне подружиться с ЕСПД.
Я правильно понимаю алгоритм?
- прописать ип(статика), маску, шлюз.
- добавить сертификат
- идти на HTTP://edu.gov.ru для авторизации
Для авторизации на ПК пользователь открывает интернет-браузер
и в адресной строке браузера вводит http://edu.gov.ru/
И по идее у меня должно появиться окно авторизации. Но у меня страница не загружается без указания прокси. А на сайте указано что нужно прокси отключить.
Что упускаю?
Прокси нужен, у Меня он точно имеется (возможно, здесь следует добавить, что в той школе, которой помогаю, IP-адресация раздаётся автоматически и никакой ручной настройки на пользовательских системах не требуется).
Короткое видео, где открываю браузер, сразу вижу ошибку перехода на сайт со стартовой страницы, после набираю в адресной строке gov.ru, жму “Enter” и получаю страницу авторизации:
Спойлер
На сайте указано что отключить прокси нужно.
Для отключения контентной фильтрации Вам необходимо:
Привязать педагогических работников к образовательной организации согласно инструкции,
размещенной на портале Госуслуг (ЕСИА) по ссылке «Как присоединить к профилю компании сотрудников».
Настроить Ваш рабочий компьютер:
Отключить прокси-сервер на Вашем компьютере - Инструкция отключения прокси для авторизации на ЕСИА;
Убедиться в корректности сетевых настроек - Сетевые настройки;
Открыть браузер и пройти авторизацию через Госуслуги (ЕСИА) - Инструкция по авторизации
Пользователей через ЕСИА.
Ну да ладно. Если я с включенным прокси пытаюсь зайти, то вижу следующее:
Такая страница у меня высвечивается без сертификата(т.е. до его добавления в систему)
Нет, не такая.
Обратите внимание на сертификат сайта, чуть выше об это говорил: