Как установить корневой сертификат?
Может ли кто-нибудь указать мне на хороший учебник по установке корневого сертификата на ubuntu 10 или 11?
Мне предоставлен файл .crt. Я считаю, что нужно создать каталог в /usr/share/ca-certificates/newdomain.org и поместить .crt в этот каталог. Кроме того, я не уверен, как это сделать.
5 ответов
Для файла сертификата CA «foo.crt» выполните следующие шаги, чтобы установить его на Ubuntu:
Сначала скопируйте свой CA в каталог /usr/local/share/ca-certificates/
sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt
то, обновить CA store
sudo update-ca-certificates
Вот и все. Вы должны получить этот вывод:
Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:foo.pem
done.
done.
Для редактирования файла не требуется. Ссылка на ваш CA создается автоматически.
Обратите внимание, что имена файлов сертификатов должны заканчиваться на .crt, в противном случае скрипт update-ca-certificates не будет на них нажимать.
Эта процедура работает и в более новых версиях: руководства.
-
1это, похоже, не работает в надежном tahr 14.04 – mcantsin 29 March 2014 в 01:21
-
2Обратите внимание: в отличие от добавления в / usr / share / ca-cert, это работает, только если они находятся непосредственно в / usr / local / share / ca-cert, а не в подкаталоге. +1 для использования локальной папки вместо системной папки! – Toby J 8 April 2014 в 10:11
-
3Используйте эту команду для преобразования * .pem в *. Crt : openssl x509 -outform der -in in_file.pem -out out_file.crt – Nelson G. 1 June 2016 в 13:20
-
4Это описано в README.Debian . – pevik 24 August 2016 в 12:32
-
5Я должен был сделать openssl x509 -outform pem -in in_file.pem -out out_file.crt. Жалобы на «многочисленные сертификаты» в файле CRT, если я сделал -outform der. – Dave Hein 30 December 2016 в 00:50
Установить сертификат на Ubuntu
Я тестировал это на Ubuntu 14.04.
Вот мое решение, я смотрел и долго искал, пытаясь понять, как заставить это работать.
Извлеките .cer из браузера. Я использовал IE 11. Настройки -> Свойства обозревателя -> Промежуточные центры сертификации Выберите Центр сертификации, который вы хотите экспортировать (certutil -config - -ping покажет вам те, которые вы используете, если вы находитесь за корпоративным прокси). Экспорт -> Выберите формат. Хотите использовать: DER Encoded .cer Получить файлы .cer для Ubuntu каким-то образом Преобразовать в .crt openssl x509 -inform DER -in certificate.cer -out certificate.crt Сделать дополнительную директорию sudo mkdir /usr/share/ca-certificates/extra Копировать сертификаты через sudo cp certificate.crt /usr/share/ca-certificates/extra/certificate.crt sudo update-ca-certificates Если нет, то вам нужно делать то, что я сделал, перейдите к sudo nano /etc/ca-certificates.conf Прокрутите вниз и найдите свой .cer и удалите ! перед именем файла (update-ca-certificates doc) Запуск sudo update-ca-certificates Возможно, вам придется индивидуально доверять CA из Firefox, Chrome, и т. д., мне нужно было работать с Docker, поэтому после этих шагов он работал с Docker.-
1
-
2
Имеются ли сертификаты (root / CA) на веб-сервере, локально в вашей сети, если хотите.
Просмотрите его с помощью Firefox. Откройте сертификат и сообщите Firefox, чтобы добавить его в качестве исключения. Firefox спросит вас, хотите ли вы доверять этому сертификату для идентификации веб-сайтов, пользователей электронной почты или издателей программного обеспечения. Наслаждайтесь!Обновление: нужно будет проверить, работает ли это на Ubuntu 11. Я понял, что я просто сделал это на Ubuntu 12.04 LTS.
-
1не имеет firefox собственный контейнер сертификата? Если бы кто-то добавил сертификат таким образом, просто firefox мог бы использовать его, не так ли? – Aiyion.Prime 23 March 2015 в 20:47
-
2Это не работает вообще, вам все равно придется добавить его в глобальный контейнер сертификатов ОС, иначе он будет только в контейнере Firefox. – arc_lupus 4 April 2016 в 10:25
Отсюда:
Установка сертификата
Вы можете установить файл ключевого файла example.key и файл сертификата example.crt или файл сертификата, выданный вашим ЦС, путем запуска следующие команды в командной строке терминала:
sudo cp example.crt /etc/ssl/certs
sudo cp example.key /etc/ssl/private
Теперь просто настройте любые приложения с возможностью использования криптографии с открытым ключом, чтобы использовать сертификат и файлы ключей. Например, Apache может предоставлять HTTPS, Dovecot может предоставлять IMAPS и POP3S и т. Д.
-
1Должно быть, внимательно прочитайте ... Похоже, что это не для корневых сертификатов. На этой странице, с которой я связан, есть информация о корневых сертификатах, которые могут быть полезны. – jat255 28 October 2011 в 23:06
-
2У меня нет открытого ключа и закрытого ключа, у меня просто есть .crt, поэтому, к сожалению, эта инструкция, похоже, не применяется. – Sparky1 29 October 2011 в 00:01
Чтобы добавить сертификат Root CA в FireFox, теперь очень легко. Просто откройте настройки, перейдите в раздел «Конфиденциальность и безопасность», прокрутите вниз до «Сертификаты» и нажмите «Просмотреть сертификаты ...». Здесь вы можете нажать «Импортировать сертификат». Укажите на ваш корневой ЦС (.pem) и ОК. Это все люди.