Как установить ключ CA (самозаверяющий SSL) в Ubuntu?

29090
bstpierre

У меня есть куча машин, которые должны получить https: с сервера (или набора серверов). Я работаю в CA и сам подписываю сертификаты на сервере (ах).

Клиентские машины работают под управлением Ubuntu. Некоторые из них доступны через apt, некоторые через wget.

Как установить сертификат ЦС на клиентах, чтобы все его сертификаты распознавались без предупреждений или ошибок? (Достаточно просто расположить каталог, я его упакую соответствующим образом.)

Благодарю.

7

4 ответа на вопрос

25
Jakob

В Ubuntu 12.04 (точнее) вы должны удалить файл сертификата, /usr/local/share/ca-certificatesи он должен заканчиваться на.crt

Тогда беги update-ca-certificates. Он должен сказать вам: «1 добавлено, 0 удалено; сделано».

Обратите внимание, что, к сожалению, Firefox не поддерживает установленные сертификаты системы ( http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=316436 ). Вы можете использовать wget или w3m, которые уважают их, чтобы проверить, работает ли сертификат.

8
w4g3n3r

Копирование файла * .pem для вашего центра сертификации в / etc / ssl / certs / должно помочь.

И работает `sudo c_rehash`. phs 6 лет назад 3
-1'd, поскольку этот каталог используется только OpenSSL, поэтому программы, использующие, например, GnuTLS или Java, по-прежнему не будут знать о CA. grawity 5 лет назад 2
Работал для меня с моей программой .NET Core 2.1. Не уверен, какую библиотеку он использует под обложками. Я думал, что libcurl. Michael Welch 1 год назад 0
2
Fotis

Вам придется скопировать сертификат корневого центра сертификации в каталог / etc / ssl / certs в формате PEM. Затем вы должны запустить скрипт update-ca-Certificates, который добавит сертификат в комплект сертификатов (/etc/ssl/certs/ca-certificates.crt) и создаст символическую ссылку из файла в его хеш-значение.

1
Thomas

Не то, что вы спросили, но я рекомендую www.cacert.org для сертификатов. Это бесплатно, но установлено по умолчанию во всех браузерах. Это в большем количестве браузеров, чем ваш самоподписанный сертификат.

Я использую бесплатные сертификаты StartSSL, которые признаются всеми основными браузерами. paradroid 8 лет назад 1

Похожие вопросы