Opierając się na odpowiedzi dwmw2 , możesz właściwie powiedzieć aplikacjom, które używają NSS do zarządzania certyfikatami, aby korzystały z systemowego magazynu zaufania.
libnss3
domyślnie jest dostarczany z zestawem certyfikatów głównego urzędu certyfikacji ( libnssckbi.so
) tylko do odczytu , więc przez większość czasu musisz ręcznie dodać je samodzielnie do lokalnego magazynu zaufania użytkowników znajdującego się w $HOME/.pki/nssdb
. p11-kit
oferuje zastępczą wymianę, libnssckbi.so
która działa jak adapter do zainstalowanych w systemie certyfikatów głównych /etc/ssl/certs
.
Edytować:
Wydaje się, że jest więcej wersji libnssckbi.so
niż tylko w libnss3
. Poniżej znajduje się skrypt, aby je wszystkie znaleźć, wykonać kopię zapasową i zastąpić je linkami do p11-kit
:
sudo apt-get update && sudo apt-get install -y p11-kit libnss3
find / -type f -name "libnssckbi.so" 2>/dev/null | while read line; do
sudo mv $line ${line}.bak
sudo ln -s /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so $line
done
Oryginalne instrukcje:
Aby to zrobić, zainstaluj p11-kit
i libnss3
(jeśli nie są jeszcze zainstalowane):
sudo apt-get update && sudo apt-get install -y p11-kit libnss3
Następnie wykonaj kopię zapasową istniejącego libnssckbi.so
dostarczonego przez libnss3
:
sudo mv /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so.bak
Na koniec utwórz link symboliczny:
sudo ln -s /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
Aby potwierdzić, że zadziałało, możesz uruchomić ll /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
i powinien wyświetlić link:
lrwxrwxrwx 1 root root 49 Apr 9 20:28 /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so -> /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so
Teraz, jeśli dodasz certyfikat do magazynu CA przy użyciu update-ca-certificates
, te certyfikaty będą teraz dostępne dla aplikacji korzystających z NSS ( libnss3
), takich jak Chrome.