Membangun berdasarkan jawaban dwmw2 , Anda benar-benar dapat memberi tahu aplikasi yang menggunakan NSS untuk manajemen sertifikat untuk menggunakan trust store sistem.
libnss3
secara default dikirimkan dengan sekumpulan sertifikat CA root read-only ( libnssckbi.so
), jadi sebagian besar waktu Anda perlu menambahkannya sendiri ke toko kepercayaan pengguna lokal yang berada di $HOME/.pki/nssdb
. p11-kit
menawarkan pengganti drop-in untuk libnssckbi.so
yang bertindak sebagai adaptor untuk sertifikat root seluruh sistem yang diinstal pada /etc/ssl/certs
.
Sunting:
Tampaknya ada lebih banyak versi di libnssckbi.so
luar sana daripada hanya di libnss3
. Berikut ini adalah skrip untuk menemukan semuanya, mencadangkannya, dan menggantinya dengan tautan ke p11-kit
:
sudo apt-get update && sudo apt-get install -y p11-kit libnss3
find / -type f -name "libnssckbi.so" 2>/dev/null | while read line; do
sudo mv $line ${line}.bak
sudo ln -s /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so $line
done
Instruksi asli:
Untuk melakukan ini, instal p11-kit
dan libnss3
(jika belum diinstal):
sudo apt-get update && sudo apt-get install -y p11-kit libnss3
Kemudian backup yang sudah ada libnssckbi.so
disediakan oleh libnss3
:
sudo mv /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so.bak
Terakhir, buat tautan simbolis:
sudo ln -s /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
Untuk mengonfirmasi bahwa itu berhasil, Anda dapat menjalankan ll /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
dan itu harus menunjukkan tautan:
lrwxrwxrwx 1 root root 49 Apr 9 20:28 /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so -> /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so
Sekarang, jika Anda menambahkan sertifikat ke toko CA menggunakan update-ca-certificates
, sertifikat itu sekarang akan tersedia untuk aplikasi menggunakan NSS ( libnss3
) seperti Chrome.