Tambahkan otoritas sertifikat khusus ke Ubuntu


12

Saya telah membuat otoritas sertifikat root khusus untuk jaringan internal, example.com. Idealnya, saya ingin dapat menggunakan sertifikat CA yang terkait dengan otoritas sertifikat ini untuk klien Linux saya (menjalankan Ubuntu 9.04 dan CentOS 5.3), sehingga semua aplikasi secara otomatis mengenali otoritas sertifikat (yaitu saya tidak ingin memiliki untuk mengkonfigurasi Firefox, Thunderbird, dll secara manual untuk mempercayai otoritas sertifikat ini).

Saya telah mencoba ini di Ubuntu dengan menyalin sertifikat CA yang dikodekan PEM ke / etc / ssl / certs / dan / usr / share / ca-sertifikat /, serta dengan memodifikasi /etc/ca-certificates.conf dan perbarui pembaruan- ca-sertifikat, namun aplikasi tampaknya tidak mengenali bahwa saya telah menambahkan CA tepercaya lainnya ke sistem.

Oleh karena itu, apakah mungkin untuk menambahkan sertifikat CA sekali ke sistem, atau apakah perlu untuk menambahkan CA secara manual ke semua aplikasi yang mungkin yang akan mencoba membuat koneksi SSL ke host yang ditandatangani oleh CA ini di jaringan saya? Jika dimungkinkan untuk menambahkan sertifikat CA sekali ke sistem, kemana harus pergi?

Terima kasih.

Jawaban:


4

Singkatnya: Anda perlu memperbarui setiap aplikasi dengan sendirinya

Bahkan sertifikat berbagi Firefox dan Thunderbird.

Sayangnya Linux tidak memiliki tempat pusat untuk menyimpan / mengelola sertifikat SSL. Windows memang memiliki tempat seperti itu tetapi pada akhirnya Anda berakhir dengan masalah yang sama (Firefox / Thunderbird tidak akan menggunakan API yang disediakan Windows untuk menentukan validitas sertifikat SSL)

Saya akan menggunakan sesuatu seperti boneka / cfengine pada masing-masing host dan menempatkan sertifikat root yang diperlukan pada semua klien dengan mekanisme yang disediakan alat-alat itu.


2

Sayangnya program seperti firefox dan thunderbird menggunakan database mereka sendiri.

Namun Anda dapat menulis skrip untuk menemukan semua profil, lalu menambahkan sertifikat. Berikut adalah alat untuk menambahkan sertifikat: http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html

Anda juga dapat mengatur file cert8.db default, sehingga profil baru juga akan mendapatkannya.

Untuk aplikasi lain masalah apakah mereka mendukung toko pusat atau tidak.


1

Metode yang Anda tentukan akan memperbarui /etc/ssl/certs/ca-certificates.crt pusat. Namun, Anda akan menemukan sebagian besar aplikasi tidak dikonfigurasikan untuk menggunakan file ini. Sebagian besar aplikasi dapat dikonfigurasi untuk mengarah ke file pusat. Tidak ada cara otomatis untuk membuat semuanya menggunakan file ini tanpa mengkonfigurasi ulang mereka.

Mungkin layak untuk melaporkan bug di Ubuntu / Debian untuk menggunakan file ini secara default.


0

Anda dapat menambahkan CA PKI khusus Anda di ubuntu dan distro lainnya: Di sini Anda memiliki tautan, Anda mungkin menemukan yang berharga: Linux Cert Management

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.