Câu hỏi Làm cách nào để cài đặt chứng chỉ gốc?


Bất cứ ai có thể chỉ cho tôi một hướng dẫn tốt về cài đặt một chứng chỉ gốc trên ubuntu 10 hoặc 11?

Tôi đã được cung cấp một .crt tập tin. Tôi thu thập rằng cần phải tạo một thư mục tại /usr/share/ca-certificates/newdomain.org và đặt .crt  trong thư mục đó. Ngoài ra tôi không chắc chắn làm thế nào để tiến hành.


178
2017-10-28 18:01


gốc


Nếu ai đó hạ cánh ở đây với một tập tin cer thay vì một crt, chúng giống nhau (chỉ với một phần mở rộng khác). Bạn sẽ có thể làm theo những câu trả lời này và chỉ thay thế tên tệp. - Oli♦
Btw: một cách thuận tiện để nhận chứng chỉ CA từ dòng lệnh, xem tại đây, trên serverfault. - Frank Nocke


Các câu trả lời:


Cài đặt chứng chỉ gốc / CA

Cho một tệp chứng chỉ CA foo.crt, hãy làm theo các bước sau để cài đặt nó trên Ubuntu:

  1. Tạo thư mục cho các chứng chỉ CA bổ sung trong /usr/share/ca-certificates:

    sudo mkdir /usr/share/ca-certificates/extra
    
  2. Sao chép CA .crt tập tin vào thư mục này:

    sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt
    
  3. Hãy để Ubuntu thêm .crt đường dẫn của tệp có liên quan đến /usr/share/ca-certificates đến /etc/ca-certificates.conf:

    sudo dpkg-reconfigure ca-certificates
    

Trong trường hợp của một .pem trên Ubuntu, trước tiên nó phải được chuyển thành .crt tập tin:

openssl x509 -in foo.pem -inform PEM -out foo.crt

215
2018-01-12 12:37



Cách sử dụng /usr/local/share/ca-certificates (địa phương!) thay vì sử dụng một gói quản lý hệ thống quản lý directoy? - gertvdijk
Có thể thêm các bước sau đây để đảm bảo các cert có định dạng pem? openssl x509 -inform DER -outform PEM -in foo.crt -out foo.pem - steakunderscore
Lưu ý rằng Firefox (và có thể một số phần mềm khác) không sử dụng các chứng chỉ trên toàn hệ thống, nhưng có kho chứng chỉ của riêng nó: askubuntu.com/a/248326/79344. - Amir Ali Akbari
Lưu ý rằng tệp phải ở định dạng PEM và có phần mở rộng ".crt". - Anton
sudo dpkg-reconfigure ca-certificates Cảm ơn, người kia sudo update-ca-certificates --fresh không hoạt động vào ngày 16.10. - antivirtel


Cho một tệp chứng chỉ CA 'foo.crt', hãy làm theo các bước sau để cài đặt nó trên Ubuntu:

Đầu tiên, sao chép CA của bạn vào thư mục /usr/local/share/ca-certificates/

sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt

sau đó, cập nhật cửa hàng CA

sudo update-ca-certificates

Đó là tất cả. Bạn sẽ nhận được kết quả này:

Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:foo.pem
done.
done.

Không cần tệp nào để chỉnh sửa. Liên kết đến CA của bạn được tạo tự động.

Xin lưu ý rằng tên tệp chứng chỉ phải kết thúc bằng .crt, nếu không update-ca-certificates kịch bản sẽ không nhận được trên chúng.

Quy trình này cũng hoạt động trong các phiên bản mới hơn: hướng dẫn sử dụng.


156
2017-11-15 17:44



điều này dường như không hoạt động trong tahr đáng tin cậy 14.04 - mcantsin
Xin lưu ý rằng, không giống như thêm vào / usr / share / ca-certificate, điều này dường như chỉ hoạt động nếu chúng trực tiếp trong / usr / local / share / ca-certificates chứ không phải thư mục phụ. 1 để sử dụng thư mục cục bộ thay vì thư mục hệ thống! - Toby J
Đây là tài liệu trong README.Debian. - pevik
@ Sparky1, Đây phải là câu trả lời được chấp nhận. - Drew Chapin
@FranklinYu cảm ơn :) Debian chuyển từ Alioth sang Salsa, điều này cũng sẽ hoạt động: salsa.debian.org/debian/ca-certificates/raw/master/debian/…nhưng sources.debian.org thì tốt hơn. - pevik


Cài đặt Cơ quan cấp chứng chỉ trên Ubuntu

Tôi đã thử nghiệm điều này trên Ubuntu 14.04.

Đây là giải pháp của tôi, tôi nhìn và tìm kiếm một thời gian dài cố gắng tìm ra cách để làm việc này.

  1. Giải nén .cer từ trình duyệt. Tôi đã sử dụng IE 11.
    • Cài đặt -> Tùy chọn Internet -> Cơ quan cấp chứng chỉ trung gian
    • Chọn Tổ chức phát hành chứng chỉ bạn muốn xuất (certutil -config - -ping sẽ hiển thị cho bạn những cái bạn đang sử dụng nếu bạn ở sau proxy công ty)
    • Xuất -> Chọn định dạng bạn muốn sử dụng: DER Encoded .cer
  2. Lấy các tập tin .cer cho Ubuntu bằng cách nào đó
  3. Chuyển đổi sang .crt openssl x509 -inform DER -in certificate.cer -out certificate.crt
  4. Tạo thư mục bổ sung sudo mkdir /usr/share/ca-certificates/extra
  5. Sao chép chứng chỉ qua sudo cp certificate.crt /usr/share/ca-certificates/extra/certificate.crt
  6. sudo update-ca-certificates
  7. Nếu không, thì bạn phải làm những gì tôi đã làm, đi đến sudo nano /etc/ca-certificates.conf
  8. Cuộn xuống và tìm tệp .cer của bạn và xóa ! từ trước tên tệp (doc cập nhật-ca-chứng nhận)
  9. Chạy sudo update-ca-certificates
  10. Bạn có thể cần phải tin tưởng cá nhân các CA từ Firefox, Chrome, v.v., tôi cần nó để làm việc với Docker vì vậy sau khi các bước này nó đã làm việc với Docker.

4
2017-09-13 19:50



điều này làm việc trong 16.04? - endolith
@endolith đã làm việc cho tôi vào năm 16.04. - Shubham Aggarwal


Có chứng chỉ (root / CA) có sẵn trên một máy chủ web, địa phương cho mạng của bạn nếu bạn muốn.

  • Duyệt với Firefox.
  • Mở cert và yêu cầu Firefox thêm nó làm ngoại lệ.
  • Firefox sẽ hỏi bạn có muốn tin tưởng chứng chỉ này để nhận dạng trang web, cho người dùng e-mail hoặc cho nhà xuất bản phần mềm hay không.
  • Thưởng thức!

Cập nhật: Nó sẽ là cần thiết để kiểm tra xem điều này hoạt động trên Ubuntu 11. Tôi đã nhận ra rằng tôi chỉ làm điều này trên Ubuntu 12.04 LTS.


3
2018-06-29 05:54



đã không firefox thùng chứa chứng chỉ của riêng mình? Nếu ai đó sẽ thêm một chứng chỉ theo cách này, chỉ cần firefox sẽ có thể sử dụng nó, phải không? - Aiyion.Prime
Điều đó không có tác dụng gì cả, bạn vẫn phải thêm nó vào thùng chứa chứng chỉ toàn cầu của hệ điều hành, nếu không nó sẽ chỉ ở trong thùng chứa Firefox. - arc_lupus


Từ đây:

Cài đặt chứng chỉ

Bạn có thể cài đặt tệp khóa example.key và tệp chứng chỉ example.crt hoặc tệp chứng chỉ do CA của bạn cấp, bằng cách chạy các lệnh sau tại dấu nhắc đầu cuối:

sudo cp example.crt /etc/ssl/certs
sudo cp example.key /etc/ssl/private

Bây giờ chỉ cần cấu hình bất kỳ ứng dụng nào, với khả năng sử dụng mật mã khóa công khai, để sử dụng chứng chỉ và các tệp khóa. Ví dụ, Apache có thể cung cấp HTTPS, Dovecot có thể cung cấp IMAPS và POP3S, v.v.


1
2017-10-28 18:05



Nên đã đọc kỹ hơn ... Có vẻ như đó không phải dành cho chứng chỉ gốc. Trang đó mà tôi đã liên kết mặc dù có thông tin về chứng chỉ gốc có thể hữu ích. - jat255
Tôi không có khóa công khai và khóa riêng tư, tôi chỉ có một .crt nên tiếc là những hướng dẫn đó dường như không áp dụng. - Sparky1


Để thêm một chứng chỉ CA gốc trong FireFox thì giờ đây rất dễ dàng. Chỉ cần mở tùy chọn, đi tới "Bảo mật & Bảo mật", cuộn xuống "Chứng chỉ" và nhấp vào "Xem chứng chỉ ...". Ở đây bạn có thể nhấp vào "Nhập chứng chỉ". Trỏ tới CA gốc của bạn (.pem) và OK. Đó là tất cả mọi người.


0
2018-03-29 21:26