Domanda Come installo un certificato di root?


Qualcuno può indicarmi un buon tutorial sull'installazione di un certificato di root su ubuntu 10 o 11?

Mi è stato fornito un .crt file. Capisco che è necessario creare una directory su /usr/share/ca-certificates/newdomain.org e posizionare il .crt  in quella directory. Oltre a questo non sono sicuro di come procedere.


178
2017-10-28 18:01


origine


Se qualcuno sta arrivando qui con un file cer anziché un crt, sono la stessa cosa (solo con un'estensione diversa). Dovresti essere in grado di seguire queste risposte e sostituire semplicemente il nome del file. - Oli♦
A proposito: per un modo conveniente per ottenere certificati CA dalla riga di comando, guarda qui, su serverfault. - Frank Nocke


risposte:


Installazione di un certificato radice / CA

Dato un file di certificato CA. foo.crt, segui questi passaggi per installarlo su Ubuntu:

  1. Creare una directory per certificati CA aggiuntivi in /usr/share/ca-certificates:

    sudo mkdir /usr/share/ca-certificates/extra
    
  2. Copia la CA. .crt file in questa directory:

    sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt
    
  3. Lascia che Ubuntu aggiunga il .crt percorso del file relativo a /usr/share/ca-certificates a /etc/ca-certificates.conf:

    sudo dpkg-reconfigure ca-certificates
    

In caso di a .pem file su Ubuntu, deve prima essere convertito in a .crt file:

openssl x509 -in foo.pem -inform PEM -out foo.crt

215
2018-01-12 12:37



Che ne dici di usare /usr/local/share/ca-certificates (locale!) invece di utilizzare un directoy gestito dalla gestione dei pacchetti di sistema? - gertvdijk
Potrebbe aggiungere il seguente passaggio per garantire che il certificato sia in formato pem? openssl x509 -inform DER -outform PEM -in foo.crt -out foo.pem - steakunderscore
Si noti che Firefox (e forse qualche altro software) non utilizza i certificati di sistema, ma ha un proprio archivio certificati: askubuntu.com/a/248326/79344. - Amir Ali Akbari
Si noti che il file dovere essere in formato PEM e avere estensione ".crt". - Anton
sudo dpkg-reconfigure ca-certificates Grazie, l'altro sudo update-ca-certificates --fresh non ha funzionato il 16.10. - antivirtel


Dato un file di certificato CA 'foo.crt', segui questi passaggi per installarlo su Ubuntu:

Innanzitutto, copia la CA in dir /usr/local/share/ca-certificates/

sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt

quindi, aggiornare l'archivio di CA.

sudo update-ca-certificates

È tutto. Dovresti ottenere questo risultato:

Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:foo.pem
done.
done.

Nessun file è necessario per modificare. Il collegamento alla CA viene creato automaticamente.

Si noti che i nomi dei file dei certificati devono terminare .crt, altrimenti il update-ca-certificates la sceneggiatura non verrà ripresa da loro.

Questa procedura funziona anche nelle versioni più recenti: manuali.


156
2017-11-15 17:44



questo sembra non funzionare nel fidato tahr 14.04 - mcantsin
Si noti che, a differenza dell'aggiunta a / usr / share / ca-certificates, sembra funzionare solo se sono direttamente in / usr / local / share / ca-certificates e non in una sottodirectory. +1 per l'utilizzo della cartella locale anziché della cartella di sistema! - Toby J
Questo è documentato in README.Debian. - pevik
@ Sparky1, questa dovrebbe essere la risposta accettata. - Drew Chapin
@FranklinYu ringrazia :) Debian si è trasferito da Alioth a Salsa, anche questo avrebbe funzionato: salsa.debian.org/debian/ca-certificates/raw/master/debian/..., ma sources.debian.org è migliore. - pevik


Installa un'Autorità di certificazione su Ubuntu

Ho provato questo su Ubuntu 14.04.

Ecco la mia soluzione, ho guardato e cercato a lungo cercando di capire come farlo funzionare.

  1. Estrai il .cer dal browser. Ho usato IE 11.
    • Impostazioni -> Opzioni Internet -> Autorità di certificazione intermedie
    • Seleziona l'autorità di certificazione che desideri esportare (certutil -config - -ping mostrerà quelli che stai usando se sei dietro un proxy aziendale)
    • Esporta -> Seleziona il formato che vuoi usare: DER Encoded .cer
  2. Ottieni i file .cer su Ubuntu in qualche modo
  3. Converti in .crt openssl x509 -inform DER -in certificate.cer -out certificate.crt
  4. Crea directory extra sudo mkdir /usr/share/ca-certificates/extra
  5. Copia i certificati oltre sudo cp certificate.crt /usr/share/ca-certificates/extra/certificate.crt
  6. sudo update-ca-certificates
  7. Se no, allora devi fare quello che ho fatto, andare a sudo nano /etc/ca-certificates.conf
  8. Scorri verso il basso e trova il tuo .cer e rimuovi il ! di fronte al nome del file (doc update-ca-certificates)
  9. Correre sudo update-ca-certificates
  10. Potrebbe essere necessario affidarsi individualmente alle CA da Firefox, Chrome, ecc., Avevo bisogno che funzionasse con Docker, quindi dopo questi passaggi ha funzionato con Docker.

4
2017-09-13 19:50



funziona nel 16.04? - endolith
@endolith ha lavorato per me nel 16.04. - Shubham Aggarwal


Avere il certificato (root / CA) disponibile su un server Web, locale sulla rete, se lo si desidera.

  • Vai ad esso con Firefox.
  • Apri il certificato e comunica a Firefox di aggiungerlo come eccezione.
  • Firefox ti chiederà se vuoi fidarti di questo certificato per identificare i siti web, per gli utenti di e-mail o per gli editori di software.
  • Godere!

Aggiornare: Sarà necessario verificare se funziona su Ubuntu 11. Mi sono reso conto che l'ho appena fatto su Ubuntu 12.04 LTS.


2
2018-06-29 05:54



non ha firefox il proprio contenitore di certificati? Se si aggiungesse un certificato in questo modo, solo firefox sarebbe in grado di usarlo, no? - Aiyion.Prime
Questo non funziona affatto, devi ancora aggiungerlo al contenitore cert globale del sistema operativo, altrimenti sarà solo nel contenitore di Firefox. - arc_lupus


A partire dal Qui:

Installazione del certificato

È possibile installare il file chiave example.key e il file del certificato example.crt o il file del certificato emesso dalla CA, eseguendo i seguenti comandi al prompt del terminale:

sudo cp example.crt /etc/ssl/certs
sudo cp example.key /etc/ssl/private

Ora è sufficiente configurare qualsiasi applicazione, con la possibilità di utilizzare la crittografia a chiave pubblica, per utilizzare il certificato e i file di chiavi. Ad esempio, Apache può fornire HTTPS, Dovecot può fornire IMAPS e POP3S, ecc.


1
2017-10-28 18:05



Avrebbe dovuto leggere più da vicino ... Sembra che non sia per i certificati di root. Quella pagina a cui mi sono collegato ha informazioni sui certificati di root che potrebbero essere utili. - jat255
Non ho una chiave pubblica e una chiave privata, ho solo un .crt quindi purtroppo quelle istruzioni non sembrano essere applicabili. - Sparky1


Aggiungere un certificato CA root in FireFox è ora molto facile. Apri le preferenze, vai su "Privacy e sicurezza", scorri fino a "Certificati" e fai clic su "Visualizza certificati ...". Qui puoi fare clic su "Importa certificato". Puntare alla CA radice (.pem) e OK. È tutto gente.


0
2018-03-29 21:26