Ubuntu'ya özel bir sertifika yetkilisi ekleme

Bir iç ağ, example.com için özel bir kök sertifika yetkilisi oluşturdum. İdeal olarak, bu sertifika yetkilisi ile ilişkili CA sertifikasını Linux istemcilerime (Ubuntu 9.04 ve CentOS 5.3 çalıştıran) dağıtabilmek, böylece tüm uygulamaların sertifika yetkilisini otomatik olarak tanıması (yani sahip olmak istemiyorum) Firefox, Thunderbird, vs.'yi bu sertifika yetkilisine güvenmek üzere manuel olarak yapılandırmak için).

Bunu Ubuntu'da PEM kodlu CA sertifikasını / etc / ssl / certs / ve / usr / share / ca-certificate / dizinine kopyalayarak ve /etc/ca-certificates.conf ve rerunning update- ca-sertifikalar, ancak uygulamalar sisteme başka bir güvenilir CA eklediğimi fark etmiyor gibi görünüyor.

Bu nedenle, bir sisteme bir kez CA sertifikası eklemek mümkün mü yoksa ağımda bu CA tarafından imzalanan ana bilgisayarlara SSL bağlantıları yapmaya çalışacak tüm olası uygulamalara CA'yı manuel olarak eklemek gerekli mi? Sisteme bir kez CA sertifikası eklemek mümkünse, nereye gitmesi gerekir?

Teşekkürler.

Kısacası: Her uygulamayı kendi başınıza güncellemeniz gerekir

Firefox ve Thunderbird bile sertifika paylaşmıyor.

Ne yazık ki Linux'un SSL sertifikalarını depolamak / yönetmek için merkezi bir yeri yoktur. Windows'un böyle bir yeri var ama sonunda aynı sorunla karşılaşıyorsunuz (Firefox / Thunderbird, bir SSL sertifikasının geçerliliğini belirlemek için Windows tarafından sağlanan API'yı kullanmaz)

Her bir ana kukla / cfengine gibi bir şey ile gitmek ve bu araçların sağladığı mekanizmalarla tüm istemcilere gerekli kök sertifikaları yerleştirin.

Ne yazık ki firefox ve thunderbird gibi programlar kendi veritabanlarını kullanıyor.

Ancak, tüm profilleri bulmak için bir komut dosyası yazıp sertifikayı ekleyebilirsiniz. Sertifika eklemek için araç: http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html

Ayrıca, varsayılan bir cert8.db dosyası oluşturabilirsiniz, böylece yeni profiller de alır.

Diğer uygulamalar için merkezi mağazayı destekleyip desteklememeleri önemlidir.

Belirttiğiniz yöntem central /etc/ssl/certs/ca-certificates.crt dosyasını güncelleyecektir. Ancak, çoğu uygulamanın bu dosyayı kullanacak şekilde yapılandırılmadığını görürsünüz. Çoğu uygulama merkezi dosyayı gösterecek şekilde yapılandırılabilir. Her şeyi yeniden yapılandırmadan bu dosyayı kullanmanın otomatik bir yolu yoktur.

Bu dosyayı varsayılan olarak kullanmak için Ubuntu / Debian'daki hataları dosyalamaya değer olabilir.

Özel PKI CA'larınızı ubuntu ve diğer dağıtımlara ekleyebilirsiniz: Burada bağlantı var, değerli bulabilirsiniz: Linux Cert Management