Додайте власні повноваження сертифіката до Ubuntu

Я створив власну кореневу службу сертифіката для внутрішньої мережі, example.com. В ідеалі я хотів би мати можливість розгортати сертифікат CA, пов’язаний з цим авторитетним сертифікатом, для моїх клієнтів Linux (під керуванням Ubuntu 9.04 та CentOS 5.3), таким чином, що всі програми автоматично розпізнають авторитетний сертифікат (тобто я не хочу мати налаштувати Firefox, Thunderbird тощо вручну, щоб довіряти цьому сертифікату.

Я спробував це зробити на Ubuntu, скопіювавши сертифікований PEM сертифікат CA в / etc / ssl / certs / та / usr / share / ca-сертифікати /, а також змінивши /etc/ca-certificate.conf та повторно поновивши update- ca-сертифікати, однак програми, здається, не визнають, що я додав ще одну довірену CA в систему.

Отже, чи можна додати сертифікат CA один раз до системи, чи потрібно вручну додати ЦС до всіх можливих програм, які намагатимуться зробити з'єднання SSL з хостами, підписаними цією ЦА в моїй мережі? Якщо можливо додати сертифікат CA один раз до системи, куди це потрібно подати?

Дякую.

Коротше кажучи: вам потрібно оновити кожну програму самостійно

Навіть Firefox та Thunderbird не діють сертифікати.

На жаль, у Linux немає центрального місця для зберігання / управління SSL-сертифікатами. У Windows є таке місце, але врешті-решт у вас виникає та ж проблема (Firefox / Thunderbird не буде використовувати API, що надається Windows, щоб визначити дійсність SSL-серта)

Я б поїхав з чимось на зразок ляльковий / cfengine на кожного з хостів і розмістив необхідні кореневі сертифікати для всіх клієнтів із механізмами, які вони надають.

На жаль такі програми, як firefox та thunderbird, використовують власну базу даних.

Однак ви можете написати сценарій, щоб знайти всі профілі, а потім додати cert. Ось інструмент для додавання сертифіката: http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html

Крім того, ви можете встановити файл cert8.db за замовчуванням, так що нові профілі також отримають його.

Для інших програм важливо, підтримують вони центральний магазин чи ні.

Метод, який ви вказали, оновить центральний /etc/ssl/certs/ca-certificate.crt. Однак ви знайдете, що більшість програм не налаштовані на використання цього файлу. Більшість програм можна налаштувати так, щоб вони вказували на центральний файл. Немає автоматичного способу змусити все використовувати цей файл без їх перенастроювання.

Можливо, варто зафіксувати помилки в Ubuntu / Debian, щоб використовувати цей файл за замовчуванням.

Ви можете додати свої власні PKI CA в ubuntu та інші дистрибутиви: Тут ви маєте посилання, яке може бути цінним: Linux Cert Management