Добавить пользовательский центр сертификации в Ubuntu


12

Я создал собственный корневой центр сертификации для внутренней сети, example.com. В идеале я хотел бы иметь возможность развернуть сертификат CA, связанный с этим центром сертификации, на моих клиентах Linux (под управлением Ubuntu 9.04 и CentOS 5.3), чтобы все приложения автоматически распознавали центр сертификации (т.е. я не хочу иметь настроить Firefox, Thunderbird и т. д. вручную для доверия этому центру сертификации).

Я попытался сделать это в Ubuntu, скопировав PEM-кодированный сертификат CA в / etc / ssl / certs / и / usr / share / ca-Certificates /, а также изменив /etc/ca-certificates.conf и повторно запустив update- CA-сертификаты, однако приложения, похоже, не распознают, что я добавил еще один доверенный CA в систему.

Следовательно, возможно ли добавить сертификат CA один раз в систему или необходимо вручную добавить CA во все возможные приложения, которые будут пытаться устанавливать SSL-соединения с узлами, подписанными этим CA в моей сети? Если возможно добавить сертификат CA один раз в систему, куда он должен идти?

Благодарю.

Ответы:


4

Короче говоря: вам нужно обновить каждое приложение отдельно

Даже Firefox и Thunderbird не делятся сертификатами.

К сожалению, у Linux нет центрального места для хранения / управления SSL-сертификатами. В Windows такое место есть, но в итоге вы сталкиваетесь с той же проблемой (Firefox / Thunderbird не будет использовать предоставленный Windows API для определения действительности SSL-сертификата)

Я бы использовал что-то вроде puppet / cfengine на каждом из хостов и разместил необходимые корневые сертификаты на всех клиентах с механизмами, которые предоставляют эти инструменты.


2

К сожалению, такие программы, как Firefox и Thunderbird используют свою собственную базу данных.

Однако вы можете написать скрипт, чтобы найти все профили, а затем добавить сертификат. Вот инструмент для добавления сертификата: http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html

Также вы можете настроить файл cert8.db по умолчанию, так что новые профили тоже получат его.

Для других приложений важно, поддерживают ли они центральный магазин или нет.


1

Указанный вами метод обновит центральный файл /etc/ssl/certs/ca-certificates.crt. Однако вы обнаружите, что большинство приложений не настроены на использование этого файла. Большинство приложений можно настроить так, чтобы они указывали на центральный файл. Не существует автоматического способа заставить все использовать этот файл без их перенастройки.

Возможно, стоит оставить ошибки в Ubuntu / Debian, чтобы использовать этот файл по умолчанию.


Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.