CentOS'a nasıl özel bir CA sertifikası yüklenir?

Dahili sertifika sunucum için bir CentOS sistem serisine sertifika yüklemeye çalışıyorum ve bununla ilgili belgeleri neredeyse yok gibi buluyorum.

Benim nihai hedef kullanabilmek için olmaktır git, curlhatasız iç güvenli sunucularda karşı ve diğerleri.

Ubuntu'da, sertifikayı bir klasöre atar ve CA sertifikasını sertifika yoluna eklemek için bir dizi bağlantı oluşturmak için bir komut çalıştırırsınız.

Hayatım boyunca CentOS'ta bunu nasıl yapacağımı öğrenemiyorum .. Rastgele sertifikalara güvenme konusunda bol miktarda bilgi var. (Wit için: /etc/pki/tls/certsPEM kodlu sertifika dosyasına sertifikanın karmasıyla adlandırılmış bir sembolik bağlantı oluşturun . Yukarıda belirtilen uygulamalar CA tarafından imzalanmış bir sertifikayı hala doğrulayamadığından CA'm için çalışmadı).

Bir CentOS sistemine yeni bir kök CA'yı nasıl yüklersiniz?

CentOS 6+ itibariyle bunun için bir araç var. Bu kılavuz uyarınca , ilk olarak sistem paylaşımlı CA deposunu etkinleştirerek sertifikalar yüklenebilir:

update-ca-trust enable

Daha sonra sertifikaları /etc/pki/ca-trust/source/anchors/yüksek öncelikli (geçersiz kılınamaz) veya /usr/share/pki/ca-trust-source/(düşük öncelikli, geçersiz kılınabilir) için CA'lar olarak güvenecek şekilde yerleştirin ve son olarak sistem deposunu aşağıdakilerle güncelleyin:

update-ca-trust extract

Et voila, sistem araçları artık güvenli bağlantılar kurarken bu sertifikalara güvenecek!

Ne yazık ki CentOS'ta bunu yapmanın tek bir merkezi yolu olduğunu düşünmüyorum. Aynı şeyi başarmak için çok zaman harcadım. Birincil pki tls sertifika deposu çok kullanılır ama kesinlikle her şey için değildir.

Benim çözümüm, güncellenmiş bir sertifika deposunu ürün başına kullanılan her yere itecek bir kukla modülünü korumaktı. Temel mantık, belirli bir mağaza varsa özel girişimi ekleyin.

Bu mükemmel değil - dağıttığım bazı tomcat örnekleri, biri için standart olmayan bir cacerts dizinine sahip dahili bir Java kurulumuna sahip, ancak bu, çoğu gereksinimimi ele alıyor.