Ajouter une autorité de certification personnalisée à Ubuntu


12

J'ai créé une autorité de certification racine personnalisée pour un réseau interne, example.com. Idéalement, j'aimerais pouvoir déployer le certificat CA associé à cette autorité de certification sur mes clients Linux (exécutant Ubuntu 9.04 et CentOS 5.3), de sorte que toutes les applications reconnaissent automatiquement l'autorité de certification (c'est-à-dire que je ne veux pas avoir pour configurer Firefox, Thunderbird, etc. manuellement pour faire confiance à cette autorité de certification).

J'ai tenté cela sur Ubuntu en copiant le certificat CA codé PEM dans / etc / ssl / certs / et / usr / share / ca-certificats /, ainsi qu'en modifiant /etc/ca-certificates.conf et en réexécutant la mise à jour- certificats ca, mais les applications ne semblent pas reconnaître que j'ai ajouté une autre autorité de certification de confiance au système.

Par conséquent, est-il possible d'ajouter un certificat d'autorité de certification une fois à un système, ou est-il nécessaire d'ajouter manuellement l'autorité de certification à toutes les applications possibles qui tenteront d'établir des connexions SSL avec des hôtes signés par cette autorité de certification dans mon réseau? S'il est possible d'ajouter un certificat CA une fois au système, où doit-il aller?

Merci.

Réponses:


4

En bref: vous devez mettre à jour chaque application seule

Pas même les certificats de partage Firefox et Thunderbird.

Malheureusement, Linux n'a pas de place centrale pour stocker / gérer les certificats SSL. Windows a un tel endroit mais à la fin vous vous retrouvez avec le même problème (Firefox / Thunderbird n'utilisera pas l'API fournie par Windows pour déterminer la validité d'un certificat SSL)

J'irais avec quelque chose comme marionnette / cfengine sur chacun des hôtes et placerais les certificats racine nécessaires sur tous les clients avec les mécanismes fournis par ces outils.


2

Malheureusement, des programmes comme Firefox et Thunderbird utilisent leur propre base de données.

Cependant, vous pouvez écrire un script pour trouver tous les profils, puis ajouter le certificat. Voici l'outil pour ajouter le cert: http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html

Vous pouvez également configurer un fichier cert8.db par défaut, afin que les nouveaux profils l'obtiennent également.

Pour d'autres applications, il s'agit de savoir si elles prennent en charge le magasin central ou non.


1

La méthode que vous avez spécifiée mettra à jour le fichier central /etc/ssl/certs/ca-certificates.crt. Cependant, vous constaterez que la plupart des applications ne sont pas configurées pour utiliser ce fichier. La plupart des applications peuvent être configurées pour pointer vers le fichier central. Il n'y a pas de moyen automatique pour que tout utilise ce fichier sans les reconfigurer.

Il peut être utile de déposer des bogues dans Ubuntu / Debian pour utiliser ce fichier par défaut.


0

Vous pouvez ajouter vos autorités de certification PKI personnalisées dans Ubuntu et autres distributions: ici vous avez le lien, vous pouvez trouver utile: Linux Cert Management

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.