Implementar CA interna en clientes Linux

8

Tengo una gran cantidad de estaciones de trabajo que ejecutan RedHat Enterprise Linux 5 y 6. Me gustaría implementar nuestra nueva CA (Active Directory) interna en estas máquinas. Puedo importar manualmente el certificado en Firefox 10 sin ningún problema, pero parece que no puedo encontrar dónde almacenar el archivo .cer en el sistema de archivos para que FireFox y Google Chrome lo usen. ¿Existe una ubicación central para las CA de confianza que utilizan estos dos navegadores?

Si no, me conformaría con una forma más automatizada de hacer que FireFox acepte mi CA.

Cosas que he probado

  • Usando el proporcionado por Mozilla certutil, pero parece que solo trata con certificados del lado del cliente, a menos que me equivoque.
  • Modificación /etc/pki/tls/ca-bundle.crtincluida en el ca-certificatespaquete. Firefox no parece honrar este archivo.
redhat firefox certificate-authority Kyle Smith
fuente
Nunca lo usé yo mismo, pero Firefox viene con una herramienta llamada certutil( mozilla.org/projects/security/pki/nss/tools/certutil.html ). Creo que puede hacer lo que necesita, al menos para Firefox.
Kenny Rasschaert
Desde un primer momento, parece que el NSS DB no contiene CA, sino certificados del lado del cliente.
Kyle Smith

Respuestas:

3

Para Firefox: FF almacena el certificado en el perfil del usuario, debe importar el certificado para cada perfil en cada cuadro. Para las CA de confianza, el certificado debe estar en formato PEM e importarse utilizando el certutilcomando (disponible en el nss-toolspaquete en RedHat):

Puede usar este comando para enumerar los certificados:

certutil -L -d ~/.mozilla/firefox/[profile]

Luego, el certificado se puede importar usando:

certutil -A -n 'Certificate Name' -t CT,, -d ~/.mozilla/firefox/[profile] < /path/to/certificate.pem

Consulte http://www.dzhang.com/blog/2011/01/29/importing-exporting-firefox-certificates-from-command-line para obtener más detalles.

De acuerdo con la wiki de cromo , puede usar certutil para cromo. No sé si esto también funcionará para el stock Chrome.

Con un poco de secuencias de comandos, debería ser posible implementar automáticamente su autoridad de certificación AD en este entorno.

ercpe
fuente
Gracias por esta respuesta, parece muy prometedor. ¡Tan pronto como tenga algunos momentos libres, estaré encantado de probar y darle una marca de verificación verde brillante!
Kyle Smith
Gracias por señalarme en la dirección correcta. Parece que los pk12utilcertificados de formato pkcs12 son para autenticación del lado del cliente, pero esto me ayudó a comenzar a analizar certutilqué puede modificar la confianza de CA. Editaré la respuesta con más información, si tienes curiosidad.
Kyle Smith