Como se instala um certificado de CA personalizado no CentOS?

12

Estou tentando instalar um certificado para o meu servidor de certificados interno em uma série de sistemas CentOS, e estou achando a documentação quase inexistente.

Meu objetivo final é poder usar git , curl e outras pessoas contra servidores seguros internos sem erros.

No Ubuntu, é bastante simples, você joga o certificado em uma pasta e executa um comando para gerar uma série de links para adicionar o certificado da CA ao caminho de certificação.

Eu não posso para a vida de mim descobrir como fazer isso no CentOS .. muitas informações estão disponíveis em confiar em certificados aleatórios. (A saber: criar um link simbólico em /etc/pki/tls/certs para o arquivo cert codificado pelo PEM, nomeado com o hash do certificado. Não funcionou para minha CA, já que os aplicativos mencionados ainda não podem verificar um certificado assinado pela CA) .

Como você instala uma nova CA raiz em um sistema CentOS?

    
por Mikey T.K. 30.05.2013 / 00:36

2 respostas

8

A partir do CentOS 6+, existe uma ferramenta para isso. Por este guia , os certificados podem ser instalados primeiro habilitando a CA compartilhada do sistema loja:

update-ca-trust enable

Em seguida, coloque os certificados para confiar como CAs em /etc/pki/ca-trust/source/anchors/ para prioridade alta (não substituível) ou /usr/share/pki/ca-trust-source/ (prioridade mais baixa, substituível) e, finalmente, atualizando o armazenamento do sistema com:

update-ca-trust extract

Agora, as ferramentas do sistema agora confiam nesses certificados ao fazer conexões seguras!

    
por 09.03.2016 / 22:40
2

Infelizmente, não acho que exista uma única maneira centralizada de fazer isso no CentOS. Passei muito tempo tentando realizar a mesma coisa. O armazenamento de certificados pki tls primário é usado para muito, mas definitivamente não é tudo.

Minha solução foi manter um módulo de fantoches que enviará um repositório de certificados atualizado para cada local usado por produto. A lógica básica é se uma determinada loja existir e, em seguida, adicionar minha entrada personalizada.

Isso não é perfeito - algumas instâncias de tomcat que eu implementei têm uma instalação Java interna com um diretório cacerts não padrão para uma - mas ela lida com a maioria das minhas necessidades.

    
por 30.05.2013 / 13:31