Bagaimana cara memasang sertifikat CA kustom pada CentOS?

Saya mencoba menginstal sertifikat untuk server sertifikat internal saya pada serangkaian sistem CentOS, dan saya menemukan dokumentasi tentang ini hampir tidak ada.

Tujuan akhir saya adalah untuk dapat menggunakan git, curl, dan lain-lain terhadap server aman internal tanpa kesalahan.

Di Ubuntu cukup sederhana, Anda melempar sertifikat ke dalam folder dan menjalankan perintah untuk menghasilkan serangkaian tautan untuk menambahkan sertifikat CA ke jalur sertifikasi.

Saya tidak bisa seumur hidup mencari tahu bagaimana melakukan ini di CentOS .. banyak informasi tersedia tentang mempercayai sertifikat acak. (Intinya: buat symlink /etc/pki/tls/certske file sertifikat yang disandikan PEM, dinamai dengan hash sertifikat. Tidak berfungsi untuk CA saya, karena aplikasi yang disebutkan di atas masih tidak dapat memverifikasi sertifikat yang ditandatangani oleh CA).

Bagaimana Anda menginstal CA root baru pada sistem CentOS?

Pada CentOS 6+, ada alat untuk ini. Per panduan ini , sertifikat dapat diinstal terlebih dahulu dengan mengaktifkan sistem CA store yang dibagikan:

update-ca-trust enable

Kemudian menempatkan sertifikat untuk dipercaya sebagai CA's dalam /etc/pki/ca-trust/source/anchors/prioritas tinggi (tidak dapat ditimpa), atau /usr/share/pki/ca-trust-source/(prioritas lebih rendah, dapat ditimpa), dan akhirnya memperbarui sistem toko dengan:

update-ca-trust extract

Et voila, alat sistem sekarang akan mempercayai sertifikat tersebut saat membuat koneksi yang aman!

Sayangnya saya tidak berpikir ada satu cara terpusat untuk melakukan ini di CentOS. Saya telah menghabiskan banyak waktu untuk mencoba mencapai hal yang sama. Toko sertifikat pki tls primer digunakan untuk banyak hal tetapi jelas bukan segalanya.

Solusi saya adalah mempertahankan modul boneka yang akan mendorong toko sertifikat yang diperbarui ke setiap lokasi yang digunakan per produk. Logika dasarnya adalah jika ada toko yang ada kemudian tambahkan entri khusus saya.

Ini tidak sempurna - beberapa contoh kucing jantan yang saya gunakan memiliki instalasi Java internal dengan direktori cacerts non-standar untuk satu-tetapi itu menangani sebagian besar kebutuhan saya.