Comment installer un certificat CA personnalisé sur CentOS?

J'essaie d'installer un certificat pour mon serveur de certificats interne sur une série de systèmes CentOS, et je trouve la documentation à ce sujet presque inexistante.

Mon objectif final est d'être en mesure d'utiliser git, curlet d' autres contre des serveurs sécurisés internes sans erreurs.

Sur Ubuntu, c'est assez simple, vous jetez le certificat dans un dossier et exécutez une commande pour générer une série de liens pour ajouter le certificat CA au chemin de certification.

Je ne peux pas pour la vie de moi savoir comment faire cela sur CentOS .. de nombreuses informations sont disponibles sur la confiance des certificats aléatoires. (À savoir: créez un lien symbolique /etc/pki/tls/certsvers le fichier de certificat codé PEM, nommé avec le hachage du certificat. Cela n'a pas fonctionné pour mon autorité de certification, car les applications susmentionnées ne peuvent toujours pas vérifier un certificat signé par l'autorité de certification).

Comment installer une nouvelle autorité de certification racine sur un système CentOS?

Depuis CentOS 6+, il existe un outil pour cela. Selon ce guide , les certificats peuvent être installés en premier en activant le magasin CA partagé du système:

update-ca-trust enable

Ensuite, placez les certificats à approuver en tant qu'AC /etc/pki/ca-trust/source/anchors/pour une priorité élevée (non remplaçable) ou /usr/share/pki/ca-trust-source/(priorité inférieure, remplaçable), et enfin mettez à jour le magasin système avec:

update-ca-trust extract

Et le tour est joué, les outils système font désormais confiance à ces certificats lors de l'établissement de connexions sécurisées!

Malheureusement, je ne pense pas qu'il existe une seule manière centralisée de le faire dans CentOS. J'ai passé beaucoup de temps à essayer d'accomplir la même chose. Le magasin de certificats pki tls principal est utilisé pour beaucoup mais certainement pas pour tout.

Ma solution a été de maintenir un module marionnette qui poussera un magasin de certificats mis à jour à chaque emplacement utilisé par produit. La logique de base est que si un magasin donné existe, ajoutez mon entrée personnalisée.

Ce n'est pas parfait - certaines instances de tomcat que je déploie ont une installation Java interne avec un répertoire cacerts non standard pour un - mais cela gère la plupart de mes besoins.