it-swarm.dev

Jak nainstalovat kořenový certifikát?

Může mi někdo ukázat na dobrý návod k instalaci kořenového certifikátu na Ubuntu?

Byl mi poskytnut soubor .crt. Shromáždím, že je třeba vytvořit adresář na /usr/share/ca-certificates/newdomain.org A umístit .crt Do tohoto adresáře. Kromě toho si nejsem jistý, jak postupovat.

253
Sparky1

Instalace kořenového certifikátu/certifikátu CA.

Při zadání souboru certifikátu CA foo.crt Jej nainstalujte na Ubuntu podle těchto pokynů:

  1. Vytvořte adresář pro další certifikáty CA v /usr/share/ca-certificates:

    Sudo mkdir /usr/share/ca-certificates/extra
    
  2. Zkopírujte soubor CA .crt Do tohoto adresáře:

    Sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt
    
  3. Nechte Ubuntu přidat cestu souboru .crt Vzhledem k /usr/share/ca-certificates Do /etc/ca-certificates.conf:

    Sudo dpkg-reconfigure ca-certificates
    

    Chcete-li to neinteraktivní, spusťte:

    Sudo update-ca-certificates
    

V případě souboru .pem Na Ubuntu musí být nejprve převeden na soubor .crt:

openssl x509 -in foo.pem -inform PEM -out foo.crt
333
Bai

Při zadání souboru certifikátu CA 'foo.crt' jej nainstalujte na Ubuntu takto:

Nejprve zkopírujte svůj CA do adresáře /usr/local/share/ca-certificates/

Sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt

pak aktualizujte úložiště CA.

Sudo update-ca-certificates

To je vše. Měli byste získat tento výstup:

Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:foo.pem
done.
done.

K úpravám není třeba žádný soubor. Odkaz na váš CA se vytvoří automaticky.

Mějte prosím na paměti, že názvy souborů certifikátů musí končit v .crt, jinak update-ca-certificates skript na ně nebude vyzvednut.

Tento postup funguje také v novějších verzích: manuály .

207
Frantisek Boranek

Nainstalujte na Ubuntu certifikační úřad

Testoval jsem to na Ubuntu 14.04.

Tady je moje řešení. Podíval jsem se a hledal jsem dlouhou dobu, když jsem se snažil přijít na to, jak to doprovodit.

  1. Extrahujte .cer z prohlížeče. Použil jsem IE 11.
    • Nastavení -> Možnosti Internetu -> Zprostředkující certifikační autority
    • Vyberte certifikační úřad, který chcete exportovat (certutil -config - -ping vám ukáže ty, které používáte, pokud jste za firemním proxy)
    • Export -> Vyberte formát, který chcete použít: DER Encoded .cer
  2. Získejte soubory .cer nějak do Ubuntu
  3. Převést na .crt openssl x509 -inform DER -in certificate.cer -out certificate.crt
  4. Vytvořit další adresář Sudo mkdir /usr/share/ca-certificates/extra
  5. Kopírovat certifikáty přes Sudo cp certificate.crt /usr/share/ca-certificates/extra/certificate.crt
  6. Sudo update-ca-certificates
  7. Pokud ne, pak musíte udělat to, co jsem udělal, přejděte na Sudo nano /etc/ca-certificates.conf
  8. Přejděte dolů a najděte svůj .cer a odeberte ! z před názvem souboru (update-ca-Certificates doc) - pokud nenajdete spuštění certifikátu dpkg-reconfigure ca-certificates
  9. Spustit Sudo update-ca-certificates
  10. Možná budete muset jednotlivým CA důvěřovat jednotlivě od Firefoxu, Chrome atd., Potřeboval jsem, aby to fungovalo s Dockerem, takže po těchto krocích to fungovalo s Dockerem.
8
Alex

přesnění mezi update-ca-certificates a dpkg-reconfigure ca-certificates a proč jeden pracuje a druhý ne !!

  • update-ca-certificates nebo Sudo update-ca-certificatesbude fungovat pokud /etc/ca-certificates.conf byl aktualizován.

  • /etc/ca-certificate.confaktualizuje se pouze, jakmile spustíte dpkg-reconfigure ca-certificates které aktualizuje názvy certifikátů, které se mají importovat do /etc/ca-certificates.conf.

To je uvedeno v záhlaví /etc/ca-certificates.conf file:

# This file lists certificates that you wish to use or to ignore to be
# installed in /etc/ssl/certs.
# update-ca-certificates(8) will update /etc/ssl/certs by reading this file.
#
# This is autogenerated by dpkg-reconfigure ca-certificates.  <=======
# Certificates should be installed under /usr/share/ca-certificates
# and files with extension '.crt' is recognized as available certs.
#
# line begins with # is comment.
# line begins with ! is certificate filename to be deselected.
#
mozilla/ACCVRAIZ1.crt
mozilla/AC_RAIZ_FNMT-RCM.crt
mozilla/Actalis_Authentication_Root_CA.crt
mozilla/AddTrust_External_Root.crt
...

Jak vidíte, formát v /etc/ca-certificates.conf je <folder name>/<.crt name>

Aby bylo možné použít update-ca-certificates nebo Sudo update-ca-certificates Chcete-li importovat .crt, můžete provést následující:

  1. Vytvořte adresář pro další certifikáty CA v/usr/share/ca-Certificates:

    Sudo mkdir /usr/share/ca-certificates/extra
    
  2. Zkopírujte soubor .crt do tohoto adresáře:

    Sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt
    
  3. Připojte řádek k /etc/ca-certificates.conf použitím <folder name>/<.crt name>:

    echo "extra/foo.crt" >> /etc/ca-certificates.conf
    
  4. Aktualizujte certs neinteraktivní pomocí Sudo update-ca-certifikátů

    $ Sudo update-ca-certificates
    ...
    Updating certificates in /etc/ssl/certs...
    1 added, 0 removed; done.
    
6
mahatmanich

Jiné odpovědi pro mě nefungovaly s Ubuntu 18.04. Připojte certifikát cert k /etc/ssl/certs/ca-certificates.crt pomocí následujícího příkazu:

cat YOUR_CERT_HERE.crt >> /etc/ssl/certs/ca-certificates.crt 
4
Jasmit Tarang

Mějte certifikát (kořenový/CA) k dispozici na webovém serveru, lokálně ve vaší síti, pokud chcete.

  • Procházejte to pomocí Firefoxu.
  • Otevřete cert a řekněte Firefoxu, aby jej přidal jako výjimku.
  • Firefox se vás zeptá, zda chcete tomuto certifikátu důvěřovat při identifikaci webů, uživatelů e-mailů nebo vydavatelů softwaru.
  • Užívat si!

Aktualizace: Bude nutné zkontrolovat, zda to funguje na Ubuntu 11. Uvědomil jsem si, že jsem to právě udělal na Ubuntu 12.04 LTS.

3
Ian Green

Od zde :

Instalace certifikátu

Soubor klíčů example.key a soubor certifikátů example.crt nebo soubor certifikátů vydaný vaším CA můžete nainstalovat spuštěním následujících příkazů na terminálovém řádku:

Sudo cp example.crt /etc/ssl/certs
Sudo cp example.key /etc/ssl/private

Nyní jednoduše nakonfigurujte všechny aplikace s možností používat kryptografii veřejného klíče, aby používaly soubory certifikátů a klíčů. Apache může například poskytovat HTTPS, Dovecot může poskytovat IMAPS a POP3S atd.

1
jat255

Zde jsou jednoduché kroky:

  1. Nainstalujte certifikáty CA, aby aplikace založené na SSL mohly ověřovat autenticitu připojení SSL:

    Sudo apt-get install ca-certificates
    
  2. Zkopírujte soubor certifikátu ( crt nebo .cer ) do /usr/local/share/ca-certificates/ složka, např .:

    Sudo cp file.crt /usr/local/share/ca-certificates/
    

    Pro soubor PEM viz: Převést .pem na .crt a .key .

    Případně, pokud používáte Charles proxy, tento příkaz může fungovat:

    curl -L chls.pro/ssl | Sudo tee /usr/local/share/ca-certificates/charles.crt
    
  3. Aktualizovat certifikáty:

    Sudo update-ca-certificates
    

    Příkaz se aktualizuje /etc/ssl/certs adresář pro uložení certifikátů SSL a generování ca-certificates.crt file (zřetězený seznam certifikátů s jedním souborem).

    Poznámka: Certifikáty nepřidávejte ručně (jak je doporučeno zde ), protože nejsou trvalé a budou odebrány.

Poznámka: Pokud pracujete jako root, můžete vynechat Sudo z výše uvedených příkazů.

1
kenorb

Přidání certifikátu Root CA do FireFoxu je nyní velmi snadné. Stačí otevřít předvolby, přejděte na „Ochrana osobních údajů a zabezpečení“, přejděte dolů na „Certifikáty“ a klikněte na „Zobrazit certifikáty ...“. Zde můžete kliknout na „Importovat certifikát“. Ukažte na kořenový CA (.pem) a OK. To jsou všichni lidé.

0
pizzamonster