Menyebarkan CA internal ke klien linux


8

Saya memiliki banyak workstation yang menjalankan RedHat Enterprise Linux 5 dan 6. Saya ingin menggunakan CA (Active Directory) internal baru kami ke mesin-mesin ini. Saya dapat mengimpor sertifikat secara manual ke Firefox 10 tanpa masalah, tetapi sepertinya saya tidak dapat menemukan tempat untuk menyimpan file .cer pada sistem file sehingga akan digunakan oleh FireFox dan Google Chrome. Apakah ada lokasi sentral untuk CA tepercaya yang digunakan oleh kedua browser ini?

Jika tidak, saya akan setuju dengan cara yang lebih otomatis agar FireFox menerima CA saya.

Hal-hal yang Sudah Saya Coba

  • Menggunakan yang disediakan Mozilla certutil- tetapi ini tampaknya hanya berurusan dengan sertifikat sisi klien, kecuali saya salah.
  • Memodifikasi /etc/pki/tls/ca-bundle.crttermasuk dalam ca-certificatespaket. Firefox tampaknya tidak menghormati file ini.

Tidak pernah menggunakannya sendiri, tetapi Firefox dilengkapi dengan alat yang disebut certutil( mozilla.org/projects/security/pki/nss/tools/certutil.html ). Saya pikir itu bisa melakukan apa yang Anda butuhkan, setidaknya untuk Firefox.
Kenny Rasschaert

Dari beberapa poking awal sepertinya NSS DB tidak mengandung CA, melainkan sertifikat sisi klien.
Kyle Smith

Jawaban:


3

Untuk Firefox: FF menyimpan sertifikat di profil pengguna, Anda harus mengimpor sertifikat untuk setiap profil di setiap kotak. Untuk CA yang tepercaya, sertifikat harus dalam format PEM, dan diimpor menggunakan certutilperintah (tersedia dalam nss-toolspaket di RedHat):

Anda dapat menggunakan perintah ini untuk mendaftar sertifikat:

certutil -L -d ~/.mozilla/firefox/[profile]

Kemudian, sertifikat dapat diimpor menggunakan:

certutil -A -n 'Certificate Name' -t CT,, -d ~/.mozilla/firefox/[profile] < /path/to/certificate.pem

Lihat http://www.dzhang.com/blog/2011/01/29/importing-exporting-firefox-certificates-from-command-line untuk detail.

Menurut wiki kromium, Anda dapat menggunakan certutil untuk kromium. Saya tidak tahu apakah ini akan bekerja untuk stock chrome juga.

Dengan sedikit skrip, Anda dapat menggunakan otoritas sertifikat AD secara otomatis di lingkungan ini.


Terima kasih atas jawaban ini, kelihatannya sangat menjanjikan. Segera setelah saya memiliki waktu luang, saya akan dengan senang hati menguji dan memberi Anda tanda centang hijau terang!
Kyle Smith

Terima kasih telah menunjukkan saya ke arah yang benar. Sepertinya pk12utildan sertifikat format pkcs12 adalah untuk otentikasi sisi klien, tetapi ini memang membuat saya mulai mencari certutilyang dapat memodifikasi kepercayaan CA. Saya akan mengedit jawaban dengan beberapa informasi lebih lanjut, jika Anda penasaran.
Kyle Smith
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.