Déployer une autorité de certification interne sur des clients Linux

8

J'ai un grand nombre de postes de travail qui exécutent RedHat Enterprise Linux 5 et 6. J'aimerais déployer notre nouvelle autorité de certification interne (Active Directory) sur ces machines. Je peux importer manuellement le certificat dans Firefox 10 sans aucun problème, mais je n'arrive pas à trouver où stocker le fichier .cer sur le système de fichiers afin qu'il soit utilisé par FireFox et Google Chrome. Existe-t-il un emplacement central pour les autorités de certification de confiance utilisé par ces deux navigateurs?

Sinon, je me contenterais d'un moyen plus automatisé pour que FireFox accepte mon autorité de certification.

Des trucs que j'ai essayés

  • Utilisation de Mozilla certutil- mais cela semble ne concerner que les certificats côté client, sauf erreur de ma part.
  • Modification /etc/pki/tls/ca-bundle.crtincluse dans le ca-certificatespackage. Firefox ne semble pas honorer ce fichier.
redhat  firefox  certificate-authority 
Kyle Smith
source
Je ne l'ai jamais utilisé moi-même, mais Firefox est livré avec un outil appelé certutil( mozilla.org/projects/security/pki/nss/tools/certutil.html ). Je pense que cela peut faire ce dont vous avez besoin, pour Firefox au moins.
Kenny Rasschaert
D'après certains piquages ​​initiaux, il semble que la base de données NSS ne contienne pas de CA, mais plutôt des certificats côté client.
Kyle Smith

Réponses:

3

Pour Firefox: FF stocke le certificat dans le profil utilisateur, vous devez importer le certificat pour chaque profil sur chaque boîte. Pour les autorités de certification de confiance, le certificat doit être au format PEM et importé à l'aide de la certutilcommande (disponible dans le nss-toolspackage sur RedHat):

Vous pouvez utiliser cette commande pour répertorier les certificats:

certutil -L -d ~/.mozilla/firefox/[profile]

Ensuite, le certificat peut être importé en utilisant:

certutil -A -n 'Certificate Name' -t CT,, -d ~/.mozilla/firefox/[profile] < /path/to/certificate.pem

Voir http://www.dzhang.com/blog/2011/01/29/importing-exporting-firefox-certificates-from-command-line pour plus de détails.

Selon le wiki sur le chrome, vous pouvez utiliser certutil pour le chrome. Je ne sais pas si cela fonctionnera aussi pour le chrome d'origine.

Avec un peu de script, il devrait être possible de déployer automatiquement votre autorité de certification AD dans cet environnement.

ercpe
source
Merci pour cette réponse, elle semble très prometteuse. Dès que j'aurai quelques instants de rechange, je serai heureux de tester et de vous donner une coche verte brillante!
Kyle Smith
Merci de m'avoir indiqué dans la bonne direction. On dirait pk12utilque les certificats au format pkcs12 sont destinés à l'authentification côté client, mais cela m'a permis de commencer à déterminer certutilqui peut modifier l'approbation de l'autorité de certification. Je modifierai la réponse avec plus d'informations, si vous êtes curieux.
Kyle Smith
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.