Frage Fügen Sie Ubuntu eine benutzerdefinierte Zertifizierungsstelle hinzu


Ich habe eine benutzerdefinierte Stammzertifizierungsstelle für ein internes Netzwerk, example.com, erstellt. Im Idealfall möchte ich das mit dieser Zertifikatsautorität verbundene CA-Zertifikat auf meinen Linux-Clients (mit Ubuntu 9.04 und CentOS 5.3) bereitstellen können, so dass alle Anwendungen die Zertifikatsautorität automatisch erkennen (dh ich nicht haben möchte) um Firefox, Thunderbird usw. manuell zu konfigurieren, um dieser Zertifizierungsstelle zu vertrauen).

Ich habe dies unter Ubuntu versucht, indem ich das PEM-kodierte CA-Zertifikat nach / etc / ssl / certs / und / usr / share / ca-certificates / kopiert habe, sowie /etc/ca-certificates.conf und CA-Zertifikate, jedoch scheinen Anwendungen nicht zu erkennen, dass ich dem System eine weitere vertrauenswürdige CA hinzugefügt habe.

Ist es daher möglich, ein Zertifizierungsstellenzertifikat einmal zu einem System hinzuzufügen, oder muss die Zertifizierungsstelle manuell zu allen möglichen Anwendungen hinzugefügt werden, die SSL-Verbindungen zu Hosts herstellen möchten, die von dieser Zertifizierungsstelle in meinem Netzwerk signiert wurden? Wenn es möglich ist, dem System einmal ein CA-Zertifikat hinzuzufügen, wohin muss es gehen?

Vielen Dank.


12
2018-06-03 17:38


Ursprung




Antworten:


Kurz gesagt: Sie müssen jede Anwendung selbst aktualisieren

Nicht einmal Firefox und Thunderbird teilen sich Zertifikate.

Leider hat Linux keinen zentralen Platz zum Speichern / Verwalten von SSL-Zertifikaten. Windows hat einen solchen Ort, aber am Ende haben Sie das gleiche Problem (Firefox / Thunderbird wird nicht die Windows-API verwenden, um die Gültigkeit eines SSL-Zertifikats zu bestimmen)

Ich würde mit etwas wie puppet / cfengine auf jedem der Hosts gehen und die benötigten Wurzelzertifikate auf allen Clients mit den Mechanismen platzieren, die diese Tools bereitstellen.


4
2018-06-03 20:39





Leider benutzen Programme wie Firefox und Thunderbird ihre eigene Datenbank.

Sie könnten jedoch ein Skript schreiben, um alle Profile zu finden, und dann das Zertifikat hinzufügen. Hier ist das Werkzeug, um das Cert hinzuzufügen: http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html

Außerdem können Sie eine Standard-cert8.db-Datei einrichten, so dass neue Profile sie auch erhalten.

Für andere Anwendungen ist es eine Frage, ob sie den zentralen Speicher unterstützen oder nicht.


2
2018-06-04 03:53





Die von Ihnen angegebene Methode aktualisiert die zentrale Datei /etc/ssl/certs/ca-certificates.crt. Sie werden jedoch feststellen, dass die meisten Anwendungen nicht für die Verwendung dieser Datei konfiguriert sind. Die meisten Anwendungen können so konfiguriert werden, dass sie auf die zentrale Datei zeigen. Es gibt keine automatische Möglichkeit, die Datei ohne Neukonfiguration zu verwenden.

Es kann sich lohnen, Fehler in Ubuntu / Debian zu hinterlegen, um diese Datei standardmäßig zu verwenden.


1
2018-06-03 17:45





Sie können Ihre benutzerdefinierten PKI-Zertifizierungsstellen in ubuntu und anderen Distributionen hinzufügen: Hier haben Sie den Link, den Sie vielleicht wertvoll finden: Linux Cert Management


0
2017-12-27 19:32