Questão Como faço para instalar um certificado raiz?


Alguém pode me apontar para um bom tutorial sobre como instalar um certificado raiz no Ubuntu 10 ou 11?

Eu fui fornecido com um .crt Arquivo. Eu entendo que precisa criar um diretório em /usr/share/ca-certificates/newdomain.org e coloque o .crt  nesse diretório. Além disso, não tenho certeza de como proceder.


178
2017-10-28 18:01


origem


Se alguém está pousando aqui com um arquivo cer em vez de um crt, eles são a mesma coisa (apenas com uma extensão diferente). Você deve ser capaz de seguir estas respostas e apenas substituir o nome do arquivo. - Oli♦
Btw: para uma maneira conveniente de obter certificados de CA a partir da linha de comando, olhe aqui, no serverfault. - Frank Nocke


Respostas:


Instalando uma raiz / certificado de CA

Dado um arquivo de certificado de CA foo.crt, siga estes passos para instalá-lo no Ubuntu:

  1. Crie um diretório para certificados de CA extras /usr/share/ca-certificates:

    sudo mkdir /usr/share/ca-certificates/extra
    
  2. Copie o CA .crt arquivo para este diretório:

    sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt
    
  3. Deixe o Ubuntu adicionar .crt caminho do arquivo em relação a /usr/share/ca-certificates para /etc/ca-certificates.conf:

    sudo dpkg-reconfigure ca-certificates
    

Em caso de .pem arquivo no Ubuntu, ele deve primeiro ser convertido em .crt Arquivo:

openssl x509 -in foo.pem -inform PEM -out foo.crt

215
2018-01-12 12:37



Que tal usar /usr/local/share/ca-certificates (local!) em vez de usar um directório gerido pela gestão de pacotes do sistema? - gertvdijk
Poderia adicionar a etapa a seguir para garantir que o certificado esteja no formato pem? openssl x509 -inform DER -outform PEM -in foo.crt -out foo.pem - steakunderscore
Observe que o Firefox (e talvez alguns outros softwares) não usam os certificados de todo o sistema, mas possui seu próprio armazenamento de certificados: askubuntu.com/a/248326/79344. - Amir Ali Akbari
Note que o arquivo devo estar no formato PEM e ter extensão ".crt". - Anton
sudo dpkg-reconfigure ca-certificates Obrigado, o outro sudo update-ca-certificates --fresh não funcionou em 16.10. - antivirtel


Dado um arquivo de certificado de CA 'foo.crt', siga estas etapas para instalá-lo no Ubuntu:

Primeiro, copie sua CA para dir /usr/local/share/ca-certificates/

sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt

em seguida, atualize a loja da CA

sudo update-ca-certificates

Isso é tudo. Você deve obter esta saída:

Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:foo.pem
done.
done.

Nenhum arquivo é necessário para editar. O link para sua CA é criado automaticamente.

Por favor, note que os nomes dos arquivos de certificados têm que terminar em .crt, caso contrário, o update-ca-certificates roteiro não vai pegá-los.

Este procedimento funciona também em versões mais recentes: manuais.


156
2017-11-15 17:44



isso parece não funcionar em confiança tahr 14.04 - mcantsin
Observe que, ao contrário de adicionar a / usr / share / ca-certificates, isso parece funcionar somente se estiverem diretamente em / usr / local / share / ca-certificates e não em um subdiretório. +1 para usar a pasta local em vez da pasta do sistema! - Toby J
Isso está documentado em README.Debian. - pevik
@ Sparky1, esta deve ser a resposta aceita. - Drew Chapin
@FranklinYu obrigado :) O Debian mudou de Alioth para Salsa, isso também funcionaria: salsa.debian.org/debian/ca-certificates/raw/master/debian/…, mas o sources.debian.org é melhor. - pevik


Instalar uma autoridade de certificação no Ubuntu

Eu testei isso no Ubuntu 14.04.

Aqui está a minha solução, eu olhei e procurei por muito tempo tentando descobrir como fazer isso funcionar.

  1. Extraia o .cer do navegador. Eu usei o IE 11.
    • Configurações -> Opções da Internet -> Autoridades de Certificação Intermediárias
    • Selecione a autoridade de certificação que você deseja exportar (certutil -config - -ping mostrará os que você está usando se estiver por trás de um proxy corporativo)
    • Exportar -> Selecione o formato que você deseja usar: DER Encoder .cer
  2. Obtenha os arquivos .cer para o Ubuntu de alguma forma
  3. Converta em .crt openssl x509 -inform DER -in certificate.cer -out certificate.crt
  4. Faça um diretório extra sudo mkdir /usr/share/ca-certificates/extra
  5. Copiar certificados sobre sudo cp certificate.crt /usr/share/ca-certificates/extra/certificate.crt
  6. sudo update-ca-certificates
  7. Se não, então você tem que fazer o que eu fiz, ir para sudo nano /etc/ca-certificates.conf
  8. Role para baixo e encontre seu .cer e remova o ! na frente do nome do arquivo (update-ca-certificates doc)
  9. Corre sudo update-ca-certificates
  10. Talvez seja necessário confiar individualmente nas CAs do Firefox, Chrome, etc., eu precisava que funcionasse com o Docker, portanto, após essas etapas, funcionou com o Docker.

4
2017-09-13 19:50



isso funciona em 16.04? - endolith
@endolith trabalhou para mim em 16.04. - Shubham Aggarwal


Tenha o certificado (raiz / CA) disponível em um servidor da Web, local para sua rede, se desejar.

  • Navegue para ele com o Firefox.
  • Abra o certificado e diga ao Firefox para adicioná-lo como uma exceção.
  • O Firefox perguntará se você deseja confiar neste certificado para identificar sites, usuários de email ou editores de software.
  • Apreciar!

Atualizar: Será necessário verificar se isso funciona no Ubuntu 11. Percebi que acabei de fazer isso no Ubuntu 12.04 LTS.


3
2018-06-29 05:54



não tem firefox seu próprio recipiente de certificado? Se alguém adicionasse um certificado dessa forma, apenas o Firefox poderia usá-lo, não é? - Aiyion.Prime
Isso não funciona de todo, você ainda tem que adicioná-lo ao contêiner global cert do sistema operacional, caso contrário ele só estará no contêiner do Firefox. - arc_lupus


A partir de Aqui:

Instalando o certificado

Você pode instalar o arquivo de chave example.key e o arquivo de certificado example.crt ou o arquivo de certificado emitido pela CA, executando os seguintes comandos em um terminal:

sudo cp example.crt /etc/ssl/certs
sudo cp example.key /etc/ssl/private

Agora, basta configurar qualquer aplicativo, com a capacidade de usar criptografia de chave pública, para usar os arquivos de certificado e chave. Por exemplo, o Apache pode fornecer HTTPS, o Dovecot pode fornecer IMAPS e POP3S, etc.


1
2017-10-28 18:05



Deveria ter lido mais de perto ... Parece que não é para certificados raiz. Essa página que eu vinculei tem informações sobre certificados raiz que podem ser úteis. - jat255
Eu não tenho uma chave pública e uma chave privada, eu só tenho um .crt, infelizmente, essas instruções não parecem se aplicar. - Sparky1


Para adicionar um certificado de CA raiz no FireFox é agora muito fácil. Basta abrir as preferências, vá para "Privacidade e Segurança", desça até "Certificados" e clique em "Ver Certificados ...". Aqui você pode clicar em "Importar certificado". Aponte para sua CA raiz (.pem) e OK. Isso é tudo, pessoal.


0
2018-03-29 21:26