Concordo com tudo o que o BillThor mencionou, mas acrescentarei que talvez seja necessário reconstruir completamente o repositório de certificados, porque às vezes parece que o update-ca-certificates tenta ser muito preguiçoso e na verdade não atualiza coisas que deveria.
rm -f /usr/local/share/ca-certificates/certificate.crt
# --fresh is needed to remove symlinks to no-longer-present certificates
update-ca-certificates --fresh
Além disso, observe que, uma vez que os certificados update-ca forem concluídos, eles deverão ter os links vinculados dos arquivos /etc/ssl/certs/*.pem
aos seus respectivos certificados em /usr/local/share/ca-certificates/
ou /usr/share/ca-certificates/
. Como o BillThor mencionou, também haverá um link simbólico para um arquivo com a impressão digital como um nome - será semelhante a 349f2832.0
.
Um ls -l pode confirmar isso:
--snip--
lrwxrwxrwx 1 root root 72 Feb 6 2014 Security_Communication_EV_RootCA1.pem -> /usr/share/ca-certificates/mozilla/Security_Communication_EV_RootCA1.crt
lrwxrwxrwx 1 root root 69 Mar 25 2014 Security_Communication_RootCA2.pem -> /usr/share/ca-certificates/mozilla/Security_Communication_RootCA2.crt
lrwxrwxrwx 1 root root 69 Feb 6 2014 Security_Communication_Root_CA.pem -> /usr/share/ca-certificates/mozilla/Security_Communication_Root_CA.crt
lrwxrwxrwx 1 root root 61 Feb 6 2014 Sonera_Class_1_Root_CA.pem -> /usr/share/ca-certificates/mozilla/Sonera_Class_1_Root_CA.crt
--snip--
Observe também que * .crt e * .pem são o mesmo arquivo . Isso significa que o original .crt deve estar no formato .pem.
Um arquivo no formato .pem tem esta aparência:
-----BEGIN CERTIFICATE-----
MIIEMDCCAxigAwIBAgIQUJRs7Bjq1ZxN1ZfvdY+grTANBgkqhkiG9w0BAQUFADCB
gjELMAkGA1UEBhMCVVMxHjAcBgNVBAsTFXd3dy54cmFtcHNlY3VyaXR5LmNvbTEk
--snip--
IR9NmXmd4c8nnxCbHIgNsIpkQTG4DmyQJKSbXHGPurt+HBvbaoAPIbzp26a3QPSy
i6mx5O+aGtA9aZnuqCij4Tyz8LIRnM98QObd50N9otg6tamN8jSZxNQQ4Qb9CYQQ
O+7ETPTsJ3xCwnR8gooJybQDJbw=
-----END CERTIFICATE-----
Você pode testar a instalação do seu certificado executando o openssl no certificado: %código% e %código% (naturalmente substituindo [certname])
Você deve ver algumas informações extensas sobre o seu certificado, e ambos devem corresponder (já que com um link simbólico eles devem ser o mesmo arquivo).
Se eles não corresponderem, você deverá executar novamente openssl x509 -in /etc/ssl/certs/[certname].pem -noout -text
Se eles não gerarem informações úteis, você precisará verificar seu certificado e certificar-se de que ele esteja no formato PEM válido.
EDIT : BillThor mencionou que isso não funcionará para Java, mas parece que, pelo menos no debian, o armazenamento de certificados do Java também é mantido atualizado pela ferramenta update-ca-certificates. Não estou ciente de outras coisas no Linux que usam um armazenamento de certificados alternativo, além de talvez o Wine executando um aplicativo do Adobe Air.