Как установить собственный сертификат CA в CentOS?

Я пытаюсь установить сертификат для своего внутреннего сервера сертификатов в ряде систем CentOS, и я нахожу, что документация по этому вопросу практически отсутствует.

Моя конечная цель должна быть в состоянии использовать git, curlи другие от внутренних защищенных серверов без ошибок.

В Ubuntu это достаточно просто: вы бросаете сертификат в папку и запускаете команду, чтобы сгенерировать серию ссылок для добавления сертификата CA в путь сертификации.

Я не могу на всю жизнь узнать, как это сделать на CentOS. Много информации доступно о доверяющих случайных сертификатах. (Для этого: создайте символическую ссылку /etc/pki/tls/certsна файл сертификата в кодировке PEM, названный с помощью хэша сертификата. Не работал для моего CA, так как вышеупомянутые приложения все еще не могут проверить сертификат, подписанный CA).

Как установить новый корневой CA в системе CentOS?

Начиная с CentOS 6+, для этого есть инструмент. В соответствии с этим руководством , сертификаты могут быть установлены в первую очередь путем включения общего хранилища CA в системе:

update-ca-trust enable

Затем поместите сертификаты в доверие как CA /etc/pki/ca-trust/source/anchors/для получения высокого приоритета (без переопределения) или /usr/share/pki/ca-trust-source/(с более низким приоритетом, переопределения) и, наконец, обновите системное хранилище с помощью:

update-ca-trust extract

Итак, системные инструменты теперь будут доверять этим сертификатам при создании защищенных соединений!

К сожалению, я не думаю, что существует единый централизованный способ сделать это в CentOS. Я потратил много времени, пытаясь сделать то же самое. Первичное хранилище сертификатов pki tls используется много, но определенно не все.

Мое решение состояло в том, чтобы поддерживать модуль Puppet, который будет отправлять обновленное хранилище сертификатов в каждое местоположение, используемое для каждого продукта. Основная логика в том, что если данный магазин существует, то добавьте мою пользовательскую запись.

Это не идеально - у некоторых экземпляров tomcat, которые я развертываю, есть внутренняя установка Java с нестандартным каталогом cacerts для одного, но он удовлетворяет большинство моих потребностей.