Dựa trên câu trả lời của dwmw2 , bạn thực sự có thể nói với các ứng dụng sử dụng NSS để quản lý chứng chỉ của nó để sử dụng cửa hàng ủy thác hệ thống.
libnss3
theo mặc định các tàu có bộ chứng chỉ CA gốc ( libnssckbi.so
) chỉ đọc, do đó, hầu hết thời gian bạn cần tự thêm chúng vào cửa hàng ủy thác người dùng cục bộ nằm trong $HOME/.pki/nssdb
. p11-kit
cung cấp một sự thay thế thả vào cho libnssckbi.so
hoạt động như một bộ chuyển đổi cho các chứng chỉ gốc toàn hệ thống được cài đặt trong /etc/ssl/certs
.
Biên tập:
Dường như có nhiều phiên bản libnssckbi.so
ngoài đó hơn là chỉ trong libnss3
. Sau đây là tập lệnh để tìm tất cả, sao lưu chúng và thay thế chúng bằng các liên kết đến p11-kit
:
sudo apt-get update && sudo apt-get install -y p11-kit libnss3
find / -type f -name "libnssckbi.so" 2>/dev/null | while read line; do
sudo mv $line ${line}.bak
sudo ln -s /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so $line
done
Hướng dẫn ban đầu:
Để thực hiện việc này, hãy cài đặt p11-kit
và libnss3
(nếu chúng chưa được kích hoạt):
sudo apt-get update && sudo apt-get install -y p11-kit libnss3
Sau đó sao lưu hiện có libnssckbi.so
được cung cấp bởi libnss3
:
sudo mv /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so.bak
Cuối cùng, tạo liên kết tượng trưng:
sudo ln -s /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
Để xác nhận rằng nó hoạt động, bạn có thể chạy ll /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
và nó sẽ hiển thị liên kết:
lrwxrwxrwx 1 root root 49 Apr 9 20:28 /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so -> /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so
Bây giờ, nếu bạn thêm chứng chỉ vào cửa hàng CA bằng cách sử dụng update-ca-certificates
, các chứng chỉ đó sẽ có sẵn cho các ứng dụng sử dụng NSS ( libnss3
) như Chrome.