Thêm quyền chứng chỉ tùy chỉnh vào Ubuntu

Tôi đã tạo một quyền chứng chỉ gốc tùy chỉnh cho một mạng nội bộ, example.com. Lý tưởng nhất là tôi muốn có thể triển khai chứng chỉ CA được liên kết với cơ quan cấp chứng chỉ này cho các máy khách Linux của tôi (chạy Ubuntu 9.04 và CentOS 5.3), để tất cả các ứng dụng tự động nhận ra cơ quan cấp chứng chỉ (tức là tôi không muốn có để cấu hình Firefox, Thunderbird, v.v theo cách thủ công để tin tưởng cơ quan cấp chứng chỉ này).

Tôi đã thử điều này trên Ubuntu bằng cách sao chép chứng chỉ CA được mã hóa PEM sang / etc / ssl / certs / và / usr / share / ca-cert /, cũng như bằng cách sửa đổi /etc/ca-certert.conf và cập nhật lại- chứng chỉ ca, tuy nhiên các ứng dụng dường như không nhận ra rằng tôi đã thêm một CA đáng tin cậy khác vào hệ thống.

Do đó, có thể thêm chứng chỉ CA một lần vào hệ thống không, hoặc có cần thêm thủ công CA vào tất cả các ứng dụng có thể sẽ cố gắng tạo kết nối SSL đến máy chủ được ký bởi CA này trong mạng của tôi không? Nếu có thể thêm chứng chỉ CA một lần vào hệ thống, thì nó cần đi đâu?

Cảm ơn.

Tóm lại: Bạn cần tự cập nhật mọi ứng dụng

Ngay cả Firefox và Thunderbird cũng không chia sẻ chứng chỉ.

Thật không may, Linux không có vị trí trung tâm để lưu trữ / quản lý chứng chỉ SSL. Windows có một vị trí như vậy nhưng cuối cùng bạn cũng gặp phải vấn đề tương tự (Firefox / Thunderbird sẽ không sử dụng API do Windows cung cấp để xác định tính hợp lệ của chứng chỉ SSL)

Tôi sẽ sử dụng một cái gì đó như con rối / cengine trên mỗi máy chủ và đặt chứng chỉ gốc cần thiết cho tất cả các máy khách với các cơ chế mà các công cụ đó cung cấp.

Đáng buồn thay, các chương trình như firefox và thunderbird sử dụng cơ sở dữ liệu của riêng họ.

Tuy nhiên, bạn có thể viết một tập lệnh để tìm tất cả các cấu hình, sau đó thêm chứng chỉ. Đây là công cụ để thêm chứng chỉ: http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html

Cũng như bạn có thể thiết lập một tệp cert8.db mặc định, vì vậy các cấu hình mới cũng sẽ nhận được nó.

Đối với các ứng dụng khác, vấn đề là chúng có hỗ trợ cửa hàng trung tâm hay không.

Phương thức bạn đã chỉ định sẽ cập nhật /etc/ssl/certs/ca-certert.crt. Tuy nhiên, bạn sẽ thấy hầu hết các ứng dụng không được cấu hình để sử dụng tệp này. Hầu hết các ứng dụng có thể được cấu hình để trỏ vào tệp trung tâm. Không có cách tự động làm cho mọi thứ sử dụng tệp này mà không cần cấu hình lại chúng.

Theo mặc định, có thể đáng để gửi lỗi trong Ubuntu / Debian để sử dụng tệp này.

Bạn có thể thêm CA PKI tùy chỉnh của mình trong ubfox và các bản phân phối khác: Tại đây bạn có liên kết, bạn có thể thấy có giá trị: Quản lý chứng chỉ Linux