Làm thế nào để cài đặt chứng chỉ CA tùy chỉnh trên CentOS?

17

Tôi đang cố gắng cài đặt chứng chỉ cho máy chủ chứng chỉ nội bộ của mình trên một loạt các hệ thống CentOS và tôi đang tìm tài liệu về điều này gần như không tồn tại.

Mục tiêu cuối cùng của tôi là để có thể sử dụng git, curlvà những người khác chống lại các máy chủ an toàn nội bộ mà không có lỗi.

Trên Ubuntu đủ đơn giản, bạn ném chứng chỉ vào một thư mục và chạy lệnh để tạo một loạt các liên kết để thêm chứng chỉ CA vào đường dẫn chứng nhận.

Cả đời tôi không thể tìm ra cách thực hiện điều này trên CentOS .. rất nhiều thông tin có sẵn về việc tin tưởng các chứng chỉ ngẫu nhiên. (Để wit: tạo một liên kết tượng trưng /etc/pki/tls/certsđến tệp chứng chỉ được mã hóa PEM, được đặt tên bằng hàm băm của chứng chỉ. Không hoạt động cho CA của tôi, vì các ứng dụng đã nói ở trên vẫn không thể xác minh chứng chỉ được ký bởi CA).

Làm thế nào để bạn cài đặt một CA gốc mới trên hệ thống CentOS?

centos  ssl-certificate 
Mikey TK
nguồn

Câu trả lời:

17

Kể từ CentOS 6+, có một công cụ cho việc này. Mỗi hướng dẫn này , chứng chỉ có thể được cài đặt đầu tiên bằng cách cho phép hệ thống chia sẻ CA cửa hàng:

update-ca-trust enable

Sau đó, đặt các chứng chỉ để tin cậy như CA trong /etc/pki/ca-trust/source/anchors/mức độ ưu tiên cao (không thể ghi đè) hoặc /usr/share/pki/ca-trust-source/(mức độ ưu tiên thấp hơn, có thể ghi đè) và cuối cùng là cập nhật cửa hàng hệ thống với:

update-ca-trust extract

Et voila, các công cụ hệ thống giờ đây sẽ tin tưởng các chứng chỉ đó khi thực hiện kết nối an toàn!

Mikey TK
nguồn
6
Tôi khen bạn đã trở lại ba năm sau với một giải pháp. Cảm ơn rât nhiều.
Duncan X Simpson
1

Thật không may, tôi không nghĩ rằng có một cách tập trung duy nhất để làm điều này trong CentOS. Tôi đã dành rất nhiều thời gian để cố gắng hoàn thành điều tương tự. Cửa hàng chứng chỉ pki tls chính được sử dụng rất nhiều nhưng chắc chắn không phải là tất cả.

Giải pháp của tôi là duy trì một mô-đun con rối sẽ đẩy một kho chứng chỉ được cập nhật đến từng vị trí được sử dụng trên mỗi sản phẩm. Logic cơ bản là nếu một cửa hàng nhất định tồn tại thì thêm mục nhập tùy chỉnh của tôi.

Điều này không hoàn hảo - một số trường hợp tomcat tôi triển khai có cài đặt Java nội bộ với thư mục cacerts không chuẩn cho một thứ nhưng nó đáp ứng hầu hết các nhu cầu của tôi.

Tim Brigham
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.