Вопрос Как установить корневой сертификат?


Может ли кто-нибудь указать мне хороший учебник по установке корневого сертификата на ubuntu 10 или 11?

Мне предоставили .crt файл. Я считаю, что нужно создать каталог в /usr/share/ca-certificates/newdomain.org и поместите .crt  в этом каталоге. Кроме того, я не уверен, как действовать дальше.


178
2017-10-28 18:01


происхождения


Если кто-то приземляется здесь, а не crt, они то же самое (только с другим расширением). Вы должны следовать этим ответам и просто подставлять имя файла. - Oli♦
Btw: для удобного способа получить сертификаты CA из командной строки, посмотрите здесь, на сервере. - Frank Nocke


ответы:


Установка сертификата root / CA

С учетом файла сертификата CA foo.crt, выполните следующие действия, чтобы установить его на Ubuntu:

  1. Создайте каталог для дополнительных сертификатов CA в /usr/share/ca-certificates:

    sudo mkdir /usr/share/ca-certificates/extra
    
  2. Скопируйте CA .crt файл в этот каталог:

    sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt
    
  3. Пусть Ubuntu добавляет .crt путь файла относительно /usr/share/ca-certificates в /etc/ca-certificates.conf:

    sudo dpkg-reconfigure ca-certificates
    

В случае .pem файл на Ubuntu, он должен быть сначала преобразован в .crt файл:

openssl x509 -in foo.pem -inform PEM -out foo.crt

215
2018-01-12 12:37



Как насчет использования /usr/local/share/ca-certificates (локальный!) вместо использования управляемой системы управления системным пакетом? - gertvdijk
Могли бы добавить следующий шаг, чтобы убедиться, что сертификат находится в формате pem? openssl x509 -inform DER -outform PEM -in foo.crt -out foo.pem - steakunderscore
Обратите внимание, что Firefox (и, возможно, другое программное обеспечение) не используют общесистемные сертификаты, но имеет свой собственный магазин сертификатов: askubuntu.com/a/248326/79344, - Amir Ali Akbari
Обратите внимание, что файл должен быть в формате PEM и иметь расширение «.crt». - Anton
sudo dpkg-reconfigure ca-certificates Спасибо, другой sudo update-ca-certificates --fresh не работал 16.10. - antivirtel


Для получения файла сертификата CA «foo.crt» выполните следующие действия, чтобы установить его на Ubuntu:

Во-первых, скопируйте свой ЦС в каталог /usr/local/share/ca-certificates/

sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt

затем обновить хранилище CA

sudo update-ca-certificates

Это все. Вы должны получить этот вывод:

Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:foo.pem
done.
done.

Для редактирования файлов не требуется. Ссылка на ваш ЦС создается автоматически.

Обратите внимание, что имена файлов сертификатов должны заканчиваться .crt, в противном случае update-ca-certificates сценарий не подберет их.

Эта процедура работает и в более новых версиях: руководства,


156
2017-11-15 17:44



это, похоже, не работает в надежном tahr 14.04 - mcantsin
Обратите внимание: в отличие от добавления в / usr / share / ca-cert, это работает, только если они находятся непосредственно в / usr / local / share / ca-cert, а не в подкаталоге. +1 для использования локальной папки вместо системной папки! - Toby J
Это описано в README.Debian, - pevik
@ Sparky1, Это должен быть принятый ответ. - Drew Chapin
@FranklinYu спасибо :) Debian переехал из Alioth в Salsa, это тоже сработало бы: salsa.debian.org/debian/ca-certificates/raw/master/debian/..., но sources.debian.org лучше. - pevik


Установите Центр сертификации на Ubuntu

Я тестировал это на Ubuntu 14.04.

Вот мое решение, я посмотрел и долго искал, чтобы понять, как заставить это работать.

  1. Извлеките .cer из браузера. Я использовал IE 11.
    • Настройки -> Свойства обозревателя -> Промежуточные сертификационные центры
    • Выберите Центр сертификации, который вы хотите экспортировать (certutil -config - -ping покажут те, которые вы используете, если находитесь за корпоративным прокси)
    • Экспорт -> Выберите формат, который вы хотите использовать: DER Encoded .cer
  2. Получите файлы .cer в Ubuntu как-нибудь
  3. Преобразовать в .crt openssl x509 -inform DER -in certificate.cer -out certificate.crt
  4. Сделать дополнительный каталог sudo mkdir /usr/share/ca-certificates/extra
  5. Копирование сертификатов sudo cp certificate.crt /usr/share/ca-certificates/extra/certificate.crt
  6. sudo update-ca-certificates
  7. Если нет, то вы должны делать то, что я сделал, идите в sudo nano /etc/ca-certificates.conf
  8. Прокрутите вниз и найдите ваш .cer и удалите ! от имени файла (update-ca-certificate doc)
  9. Бег sudo update-ca-certificates
  10. Возможно, вам придется индивидуально доверять CA из Firefox, Chrome и т. Д., Мне нужно было работать с Docker, поэтому после этих шагов он работал с Docker.

4
2017-09-13 19:50



это работает в 16.04? - endolith
@endolith работал для меня в 16.04. - Shubham Aggarwal


Получите сертификат (root / CA) на веб-сервере, локальном в вашей сети, если хотите.

  • Просмотрите его с помощью Firefox.
  • Откройте сертификат и сообщите Firefox, чтобы добавить его в качестве исключения.
  • Firefox спросит вас, хотите ли вы доверять этому сертификату для идентификации веб-сайтов, пользователей электронной почты или издателей программного обеспечения.
  • Наслаждайтесь!

Обновить: Необходимо будет проверить, работает ли это на Ubuntu 11. Я понял, что я только что сделал это на Ubuntu 12.04 LTS.


3
2018-06-29 05:54



не имеет firefox собственный контейнер сертификата? Если бы кто-то добавил сертификат таким образом, просто firefox мог бы использовать его, не так ли? - Aiyion.Prime
Это не работает вообще, вам все равно придется добавить его в глобальный контейнер сертификатов ОС, иначе он будет только в контейнере Firefox. - arc_lupus


Из Вот:

Установка сертификата

Вы можете установить файл ключевого файла example.key и файл сертификата example.crt или файл сертификата, выданный вашим ЦС, выполнив следующие команды в командной строке терминала:

sudo cp example.crt /etc/ssl/certs
sudo cp example.key /etc/ssl/private

Теперь просто настройте любые приложения с возможностью использования криптографии с открытым ключом, чтобы использовать сертификат и файлы ключей. Например, Apache может предоставлять HTTPS, Dovecot может предоставлять IMAPS и POP3S и т. Д.


1
2017-10-28 18:05



Должно быть, внимательно прочитайте ... Похоже, что это не для корневых сертификатов. На этой странице, с которой я связан, есть информация о корневых сертификатах, которые могут быть полезны. - jat255
У меня нет открытого ключа и закрытого ключа, у меня просто есть .crt, поэтому, к сожалению, эта инструкция, похоже, не применяется. - Sparky1


Чтобы добавить сертификат Root CA в FireFox, теперь очень легко. Просто откройте настройки, перейдите в раздел «Конфиденциальность и безопасность», прокрутите вниз до «Сертификаты» и нажмите «Просмотреть сертификаты ...». Здесь вы можете нажать «Импортировать сертификат». Укажите на ваш корневой ЦС (.pem) и ОК. Это все люди.


0
2018-03-29 21:26