В моем Ubuntu 16.04 я мог успешно импортировать корневой CA, но первый сертификат может быть проверен только root.
Можно ли разрешить другим пользователям проверять корневой ЦС?
Как я это сделал: сначала я скопировал файл .crt в /usr/share/ca-certificates
, затем:
sudo dpkg-reconfigure ca-certificates
sudo update-ca-certificates
/usr/share/ca-certificates-ca.crt
имеет режим разрешения 754 (-rwxr-xr--). Мой /etc/ssl/certs/ca-certificates.crt
имеет режим разрешений 644 (-rw-r - r -)
Проверка openssl s_client без полномочий root все еще приводит к:
Verify return code: 21 (unable to verify the first certificate)
Любые дальнейшие идеи, которые могли бы вызвать проблему? После этого я смог проверить первый сертификат, но только как root.
Как я могу позволить другим пользователям проверить это?
Если только root может использовать новый сертификат, возможно, вы не дали разрешения на чтение для нового файла сертификата.
Вы можете проверить это, запустив ls -lsa /usr/share/ca-certificates/new-cert-name.crt
и посмотреть, есть ли у других read permission
, если нет, вы можете добавить read permission
к сертификату, используя
sudo chmod +r /usr/share/ca-certificates/new-cert-name.crt
Примечание: измените имя файла сертификата на имя, которое вы используете
Вы также должны убедиться, что вы можете получить доступ к /etc/ssl/certs/ca-certificates.crt
, например убедитесь, что вы можете читать его данные как пользователь без полномочий root:
cat /etc/ssl/certs/ca-certificates.crt
проверьте его разрешения, используя
ls -lsa /etc/ssl/certs/ca-certificates.crt
Предоставьте разрешение на чтение, если пропустите, используя:
sudo chmod +r /etc/ssl/certs/ca-certificates.crt