Agregar una autoridad de certificación personalizada a Ubuntu

12

He creado una autoridad de certificado raíz personalizada para una red interna, example.com. Idealmente, me gustaría poder implementar el certificado de CA asociado con esta autoridad de certificación a mis clientes de Linux (que ejecutan Ubuntu 9.04 y CentOS 5.3), de modo que todas las aplicaciones reconozcan automáticamente la autoridad de certificación (es decir, no quiero tener configurar Firefox, Thunderbird, etc. manualmente para confiar en esta autoridad de certificación).

He intentado esto en Ubuntu copiando el certificado de CA codificado por PEM a / etc / ssl / certs / y / usr / share / ca-certificados /, así como modificando /etc/ca-certificates.conf y volviendo a ejecutar update- ca-certificados, sin embargo, las aplicaciones no parecen reconocer que he agregado otra CA confiable al sistema.

Por lo tanto, ¿es posible agregar un certificado de CA una vez a un sistema, o es necesario agregar manualmente la CA a todas las aplicaciones posibles que intentarán hacer conexiones SSL a los hosts firmados por esta CA en mi red? Si es posible agregar un certificado de CA una vez al sistema, ¿a dónde debe ir?

Gracias.

rmrobins
fuente

Respuestas:

4

En resumen: necesita actualizar cada aplicación por sí mismo

Ni siquiera Firefox y Thunderbird comparten certificados.

Desafortunadamente, Linux no tiene un lugar central para almacenar / administrar certificados SSL. Windows tiene ese lugar, pero al final terminas con el mismo problema (Firefox / Thunderbird no usará la API proporcionada por Windows para determinar la validez de un certificado SSL)

Iría con algo como puppet / cfengine en cada uno de los hosts y colocaría los certificados raíz necesarios en todos los clientes con los mecanismos que proporcionan esas herramientas.

Martin M.
fuente
2

Lamentablemente, programas como Firefox y Thunderbird usan su propia base de datos.

Sin embargo, puede escribir un script para encontrar todos los perfiles y luego agregar el certificado. Aquí está la herramienta para agregar el certificado: http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html

Además, puede configurar un archivo cert8.db predeterminado, por lo que los nuevos perfiles también lo obtendrán.

Para otras aplicaciones, es cuestión de si son compatibles con la tienda central o no.

Steven
fuente
1

El método que ha especificado actualizará el /etc/ssl/certs/ca-certificates.crt central. Sin embargo, encontrará que la mayoría de las aplicaciones no están configuradas para usar este archivo. La mayoría de las aplicaciones se pueden configurar para apuntar al archivo central. No hay una forma automática de hacer que todo use este archivo sin reconfigurarlos.

Puede valer la pena presentar errores en Ubuntu / Debian para usar este archivo de manera predeterminada.

David Pashley
fuente
0

Puede agregar sus CA PKI personalizadas en ubuntu y otras distribuciones: aquí tiene el enlace, puede encontrar valioso: Linux Cert Management

Piscina
fuente