Jak zainstalować niestandardowy certyfikat CA na CentOS?

Próbuję zainstalować certyfikat dla mojego wewnętrznego serwera certyfikatów w szeregu systemów CentOS i uważam, że dokumentacja na ten temat prawie nie istnieje.

Mój koniec celem jest być w stanie wykorzystać git, curli inni przeciwko wewnętrznych bezpiecznych serwerach bez błędów.

W Ubuntu jest to dość proste: wrzucasz certyfikat do folderu i uruchamiasz polecenie, aby wygenerować serię łączy, aby dodać certyfikat CA do ścieżki certyfikacji.

Nie mogę przez całe życie dowiedzieć się, jak to zrobić w CentOS. Dostępnych jest wiele informacji na temat ufania losowym certyfikatom. (To znaczy: utwórz dowiązanie symboliczne /etc/pki/tls/certsdo pliku cert zakodowanego w PEM, nazwanego skrótem certyfikatu. Nie działało w moim CA, ponieważ wyżej wspomniane aplikacje nadal nie mogą zweryfikować certyfikatu podpisanego przez CA).

Jak zainstalować nowy główny urząd certyfikacji w systemie CentOS?

Począwszy od CentOS 6+, istnieje na to narzędzie. Zgodnie z tym przewodnikiem certyfikaty można najpierw zainstalować, włączając systemowy współużytkowany magazyn CA:

update-ca-trust enable

Następnie umieszczanie certyfikatów jako zaufanych w /etc/pki/ca-trust/source/anchors/urzędzie certyfikacji dla wysokiego priorytetu (nienadającego się do zastąpienia) lub /usr/share/pki/ca-trust-source/(niższy priorytet, nadpisywalnego) i na koniec aktualizowanie magazynu systemu o:

update-ca-trust extract

Et voila, narzędzia systemowe będą teraz ufać tym certyfikatom podczas nawiązywania bezpiecznych połączeń!

Niestety nie sądzę, aby istniał jeden scentralizowany sposób na wykonanie tego w CentOS. Spędziłem dużo czasu próbując osiągnąć to samo. Podstawowy magazyn certyfikatów pki tls jest używany bardzo często, ale na pewno nie wszystko.

Moim rozwiązaniem było utrzymanie modułu marionetkowego, który będzie przekazywał zaktualizowany magazyn certyfikatów do każdej lokalizacji używanej dla produktu. Podstawowa logika jest taka, że ​​jeśli dany sklep istnieje, to dodaj mój niestandardowy wpis.

To nie jest idealne - niektóre instalowane przeze mnie instancje tomcat mają wewnętrzną instalację Java z niestandardowym katalogiem cacerts dla jednego, ale obsługuje większość moich potrzeb.