Dodaj niestandardowy urząd certyfikacji do Ubuntu


12

Utworzyłem niestandardowy główny urząd certyfikacji dla sieci wewnętrznej, przyklad.com. Idealnie chciałbym móc wdrożyć certyfikat CA związany z tym urzędem certyfikacji na moich klientach Linux (z systemem Ubuntu 9.04 i CentOS 5.3), tak aby wszystkie aplikacje automatycznie rozpoznawały ośrodek certyfikacji (tzn. Nie chcę mieć ręcznie skonfigurować Firefoksa, Thunderbirda itp., aby zaufać temu urzędowi certyfikacji).

Próbowałem tego na Ubuntu, kopiując certyfikat CA zakodowany w PEM do / etc / ssl / certs / i / usr / share / ca-certyfikaty /, a także modyfikując /etc/ca-certificates.conf i ponownie uruchamiając update- Certyfikaty ca, jednak wydaje się, że aplikacje nie rozpoznają, że dodałem kolejny zaufany urząd certyfikacji do systemu.

Czy w związku z tym można raz dodać certyfikat CA do systemu, czy też konieczne jest ręczne dodanie CA do wszystkich możliwych aplikacji, które będą próbowały nawiązywać połączenia SSL z hostami podpisanymi przez ten CA w mojej sieci? Jeśli możliwe jest jednorazowe dodanie certyfikatu CA do systemu, dokąd trzeba iść?

Dzięki.

Odpowiedzi:


4

W skrócie: Musisz zaktualizować każdą aplikację samodzielnie

Nawet Firefox i Thunderbird nie udostępniają certyfikatów.

Niestety Linux nie ma centralnego miejsca do przechowywania / zarządzania certyfikatami SSL. Windows ma takie miejsce, ale ostatecznie masz ten sam problem (Firefox / Thunderbird nie użyje interfejsu API dostarczonego przez Windows do ustalenia ważności certyfikatu SSL)

Poszedłem z czymś takim jak marionetka / cfengine na każdym z hostów i umieściłem potrzebne certyfikaty root na wszystkich klientach z mechanizmami zapewnianymi przez te narzędzia.


2

Niestety programy takie jak Firefox i Thunderbird korzystają z własnej bazy danych.

Możesz jednak napisać skrypt, aby znaleźć wszystkie profile, a następnie dodać certyfikat. Oto narzędzie do dodania certyfikatu: http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html

Możesz również ustawić domyślny plik cert8.db, więc nowe profile też go otrzymają.

W przypadku innych aplikacji kwestią jest, czy obsługują one sklep centralny, czy nie.


1

Podana metoda zaktualizuje centralny plik /etc/ssl/certs/ca-certificates.crt. Przekonasz się jednak, że większość aplikacji nie jest skonfigurowana do korzystania z tego pliku. Większość aplikacji można skonfigurować tak, aby wskazywały na plik centralny. Nie ma automatycznego sposobu, aby wszystko korzystało z tego pliku bez ich ponownej konfiguracji.

Być może warto zgłosić błędy w systemie Ubuntu / Debian, aby domyślnie używać tego pliku.


Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.