Adiciona uma autoridade de certificado personalizado ao Ubuntu

12

Eu criei uma autoridade de certificação raiz personalizada para uma rede interna, example.com. Idealmente, gostaria de poder implantar o certificado de CA associado a essa autoridade de certificação aos meus clientes Linux (executando o Ubuntu 9.04 e o CentOS 5.3), de modo que todos os aplicativos reconheçam automaticamente a autoridade de certificação (ou seja, não desejo ter para configurar o Firefox, Thunderbird, etc manualmente para confiar nesta autoridade de certificação).

Eu tentei isso no Ubuntu copiando o certificado CA codificado pelo PEM para / etc / ssl / certs / e / usr / share / ca-certificates /, assim como modificando /etc/ca-certificates.conf e re-atualizando update-ca-certificates, no entanto, os aplicativos parecem não reconhecer que eu adicionei outra CA confiável ao sistema.

Portanto, é possível adicionar um certificado de autoridade de certificação a um sistema ou é necessário adicionar manualmente a autoridade de certificação a todos os possíveis aplicativos que tentarão estabelecer conexões SSL com hosts assinados por essa autoridade de certificação em minha rede? Se é possível adicionar um certificado de CA uma vez ao sistema, onde ele precisa ir?

Obrigado.

    
por rmrobins 03.06.2009 / 19:38

4 respostas

4

Resumindo: você precisa atualizar cada aplicativo sozinho

Nem mesmo o Firefox e o Thunderbird compartilham certificados.

Infelizmente, o Linux não possui um local central para armazenar / gerenciar certificados SSL. O Windows tem um lugar assim, mas no final você acaba com o mesmo problema (o Firefox / Thunderbird não usa a API fornecida pelo Windows para determinar a validade de um certificado SSL)

Eu iria com algo como puppet / cfengine em cada um dos hosts e colocaria os certificados raiz necessários em todos os clientes com os mecanismos que essas ferramentas fornecem.

    
por 03.06.2009 / 22:39
2

Infelizmente, programas como o firefox e o thunderbird usam seu próprio banco de dados.

No entanto, você pode escrever um script para encontrar todos os perfis e adicionar o certificado. Aqui está a ferramenta para adicionar o certificado: link

Você também pode configurar um arquivo cert8.db padrão, para que novos perfis também o obtenham.

Para outras aplicações, é uma questão de se eles suportam a loja central ou não.

    
por 04.06.2009 / 05:53
1

O método que você especificou atualizará o /etc/ssl/certs/ca-certificates.crt central. No entanto, você descobrirá que a maioria dos aplicativos não está configurada para usar esse arquivo. A maioria dos aplicativos pode ser configurada para apontar para o arquivo central. Não há maneira automática de fazer tudo usar esse arquivo sem reconfigurá-los.

Pode valer a pena arquivar erros no Ubuntu / Debian para usar este arquivo por padrão.

    
por 03.06.2009 / 19:45
0

Você pode adicionar seus CAs PKI personalizados no Ubuntu e em outras distribuições: Aqui você tem o link, você pode achar valioso: Gerenciamento do Cert Linux

    
por 27.12.2010 / 20:32