Развертывание внутреннего ЦС для клиентов Linux

У меня есть большое количество рабочих станций, на которых установлены RedHat Enterprise Linux 5 и 6. Я хотел бы развернуть наш новый внутренний CA (Active Directory) на этих машинах. Я могу вручную импортировать сертификат в Firefox 10 без каких-либо проблем, но я не могу найти, где хранить файл .cer в файловой системе, чтобы он мог использоваться FireFox и Google Chrome. Существует ли централизованное расположение доверенных центров сертификации, которое используется обоими этими браузерами?

Если нет, я бы согласился на более автоматизированный способ, чтобы FireFox принял мой CA.

Материал, который я пробовал

• Использование предоставленного Mozilla certutil- но, похоже, это касается только сертификатов на стороне клиента, если я не ошибаюсь.
• Модификация /etc/pki/tls/ca-bundle.crtвключена в ca-certificatesпакет. Firefox, кажется, не соблюдает этот файл.

Для Firefox: FF хранит сертификат в профиле пользователя, вы должны импортировать сертификат для каждого профиля в каждом окне. Для доверенных ЦС сертификат должен быть в формате PEM и импортирован с помощью certutilкоманды (доступной в nss-toolsпакете на RedHat):

Вы можете использовать эту команду для вывода списка сертификатов:

certutil -L -d ~/.mozilla/firefox/[profile]

Затем сертификат может быть импортирован с помощью:

certutil -A -n 'Certificate Name' -t CT,, -d ~/.mozilla/firefox/[profile] < /path/to/certificate.pem

См. Http://www.dzhang.com/blog/2011/01/29/importing-exporting-firefox-certificates-from-command-line для получения подробной информации.

Согласно хром-вики вы можете использовать certutil для хрома. Я не знаю, будет ли это работать на стоковом Chrome тоже.

Немного написав сценарии, вы сможете автоматически развернуть свой центр сертификации AD в этой среде.