Як встановити спеціальний сертифікат CA на CentOS?

18

Я намагаюся встановити сертифікат для свого внутрішнього сервера сертифікатів на ряд систем CentOS, і я вважаю, що документація на це майже не існує.

Моя кінцева мета повинна бути в змозі використати git, curlі інші від внутрішніх захищених серверів без помилок.

У Ubuntu це досить просто, ви кидаєте сертифікат у папку і виконуєте команду для створення серії посилань, щоб додати сертифікат CA до шляху сертифікації.

Я не можу за все життя дізнатися, як це зробити на CentOS .. багато інформації доступно про довіру випадкових сертифікатів. (На доцільність: створіть символьне посилання /etc/pki/tls/certsдо закодованого PEM файлу cert, названого хешем сертифіката. Не працював для мого КА, оскільки вищезгадані додатки досі не можуть перевірити сертифікат, підписаний CA).

Як встановити новий кореневий CA в системі CentOS?

centos  ssl-certificate 
Mikey TK
джерело

Відповіді:

18

Станом на CentOS 6+ є інструмент для цього. Відповідно до цього посібника , сертифікати можна встановити спочатку, включивши загальнодоступний сховище CA:

update-ca-trust enable

Потім розміщуйте сертифікати, яким слід довіряти ЦА, /etc/pki/ca-trust/source/anchors/з високим пріоритетом (не можна замінити) або /usr/share/pki/ca-trust-source/(з нижчим пріоритетом, з можливістю заміни) і, нарешті, оновіть системний накопичувач:

update-ca-trust extract

Et voila, системні інструменти тепер будуть довіряти цим сертифікатам під час безпечного з'єднання!

Mikey TK
джерело
7
Я вітаю вас за те, що ви повернулися через три роки з рішенням. Велике спасибі.
Дункан X Сімпсон
1

На жаль, я не думаю, що існує єдиний централізований спосіб зробити це в CentOS. Я витратив багато часу, намагаючись здійснити те саме. Первинний магазин сертифікатів pki tls використовується багато, але точно не все.

Моє рішення полягало в підтримці лялькового модуля, який підштовхує оновлений сховище сертифікатів до кожного місця, яке використовується для продукту. Основна логіка полягає в тому, що якщо певний магазин існує, то додайте мій власний запис.

Це не ідеально - деякі екземпляри Tomcat, які я розгортаю, мають внутрішню установку Java з нестандартним каталогом cacerts для одного - це, але він справляється з більшістю моїх потреб.

Тім Брігхем
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.