Soru Ubuntu'ya özel sertifika yetkilisi ekle


Bir iç ağ, example.com için özel bir kök sertifika yetkilisi oluşturdum. İdeal olarak, bu sertifika yetkilisiyle ilişkili CA sertifikasını Linux istemcilere (Ubuntu 9.04 ve CentOS 5.3 çalıştırarak) dağıtmak istiyorum, böylece tüm uygulamalar sertifika yetkilisini otomatik olarak tanıyacaktır ( Firefox, Thunderbird, vs.'yi bu sertifika yetkilisine güvenmek için elle yapılandırmak için).

Ubuntu'da /emc/ca-certificates.conf dosyasını değiştirerek ve / veya yeniden güncellemeyi yaparak PEM kodlu CA sertifikasını / etc / ssl / certs / ve / usr / share / ca-certificates / dizinlerine kopyalayarak denedim. ca-sertifikaları, ancak uygulamalar, sisteme başka bir güvenilir CA eklediğimi fark etmiyor gibi görünüyor.

Bu nedenle, bir CA sertifikasını bir sisteme bir kez eklemek mümkün mü, yoksa CA'yı bu ağ tarafından ağımda imzalanmış ana bilgisayarlara SSL bağlantısı kurmaya çalışacak tüm olası uygulamalara manuel olarak eklemek gerekli midir? Bir CA sertifikasını sisteme bir kez eklemek mümkün ise, nereye gitmesi gerekiyor?

Teşekkürler.


12
2018-06-03 17:38


Menşei




Cevaplar:


Kısacası: Her uygulamayı kendi başına güncellemeniz gerekiyor

Firefox ve Thunderbird bile sertifikaları paylaşmaz.

Ne yazık ki Linux, SSL sertifikalarını saklamak / yönetmek için merkezi bir yere sahip değil. Windows'un böyle bir yeri var ama sonuçta aynı sorunla karşılaşıyorsunuz (Firefox / Thunderbird bir SSL sertifikasının geçerliliğini belirlemek için Windows tarafından sağlanan API'yı kullanmaz)

Her bir ev sahibi üzerinde kukla / cfengine gibi bir şeyle gidip, gerekli olan kök sertifikaları, bu araçların sağladığı mekanizmalarla tüm müşterilere yerleştiririm.


4
2018-06-03 20:39





Firefox ve thunderbird gibi ne yazık ki programlar kendi veritabanlarını kullanıyor.

Ancak, tüm profilleri bulmak için bir komut yazabilir ve ardından sertifikası ekleyebilirsiniz. İşte cert eklemek için araç: http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html

Ayrıca bir varsayılan cert8.db dosyası kurabilirsiniz, bu yüzden yeni profiller de alacaktır.

Diğer uygulamalar için merkezi mağazayı destekleyip desteklemedikleri meselesidir.


2
2018-06-04 03:53





Belirttiğiniz yöntem, /etc/ssl/certs/ca-certificates.crt merkezini güncelleyecektir. Ancak, çoğu uygulamanın bu dosyayı kullanacak şekilde yapılandırılmamış olduğunu görürsünüz. Çoğu uygulama merkezi dosyaya işaret edecek şekilde yapılandırılabilir. Her şeyi yeniden yapılandırmadan bu dosyayı kullanmanın otomatik bir yolu yoktur.

Bu dosyayı varsayılan olarak kullanmak için Ubuntu / Debian'daki hataları dosyalamaya değebilir.


1
2018-06-03 17:45





Özel PKI CA'larınızı ubuntu ve diğer dağıtımlarda ekleyebilirsiniz: Burada linke sahipsiniz, değerli bulabilirsiniz: Linux Cert Yönetimi


0
2017-12-27 19:32