Кто-нибудь может указать мне на хороший учебник по установке корневого сертификата в Ubuntu?

Мне предоставили .crt файл. Я так понимаю, что нужно создать каталог по адресу /usr/share/ca-certificates/newdomain.org и разместите .crt в этом каталоге. Кроме того, я не уверен, как поступить дальше.

Установка сертификата root/CA

Предоставлен файл сертификата CA foo.crt, выполните следующие действия, чтобы установить его на Ubuntu:

1. Создайте каталог для дополнительных сертификатов CA в /usr/local/share/ca-certificates:

    sudo mkdir /usr/local/share/ca-certificates/extra

2. Скопируйте центр сертификации .crt файл в этот каталог:

    sudo cp foo.crt /usr/local/share/ca-certificates/extra/foo.crt

3. Позвольте Ubuntu добавить .crt путь к файлу относительно /usr/local/share/ca-certificates к /etc/ca-certificates.conf:

    sudo dpkg-reconfigure ca-certificates

Чтобы сделать это неинтерактивно, запустите:

    sudo update-ca-certificates

В случае возникновения .pem файл в Ubuntu, сначала он должен быть преобразован в .crt файл:

openssl x509 -in foo.pem -inform PEM -out foo.crt

Или в .cer файл может быть преобразован в .crt файл:

openssl x509 -inform DER -in foo.cer -out foo.crt

Получив файл сертификата CA 'foo.crt', выполните следующие действия, чтобы установить его в Ubuntu:

Во-первых, скопируйте свой центр сертификации в каталог /usr/local/share/ca-certificates/

sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt

затем обновите хранилище CA

sudo update-ca-certificates

Это все. Вы должны получить этот результат:

Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done.Running hooks in /etc/ca-certificates/update.d....Adding debian:foo.pemdone.done.

Для редактирования не требуется никакого файла. Ссылка на ваш центр сертификации создается автоматически.

Пожалуйста, обратите внимание, что имена файлов сертификатов должны заканчиваться на .crt, в противном случае update-ca-certificates сценарий не будет их улавливать.

Эта процедура работает также в более новых версиях: руководства.

Разъяснение между update-ca-certificates и dpkg-reconfigure ca-certificates и почему одно работает, а другое нет!!

• update-ca-certificates или sudo update-ca-certificates будет работать только если /etc/ca-certificates.conf был обновлен.

• /etc/ca-certificate.conf обновляется только как только ты побежал dpkg-reconfigure ca-certificates который обновляет имена сертификатов, которые будут импортированы в /etc/ca-certificates.conf.

Об этом говорится в заголовке /etc/ca-certificates.conf файл:

# This file lists certificates that you wish to use or to ignore to be# installed in /etc/ssl/certs.# update-ca-certificates(8) will update /etc/ssl/certs by reading this file.## This is autogenerated by dpkg-reconfigure ca-certificates.  <=======# Certificates should be installed under /usr/share/ca-certificates# and files with extension '.crt' is recognized as available certs.## line begins with # is comment.# line begins with ! is certificate filename to be deselected.#mozilla/ACCVRAIZ1.crtmozilla/AC_RAIZ_FNMT-RCM.crtmozilla/Actalis_Authentication_Root_CA.crtmozilla/AddTrust_External_Root.crt...

Как вы можете видеть, формат в /etc/ca-certificates.conf является <folder name>/<.crt name>

Итак, для того, чтобы использовать update-ca-certificates или sudo update-ca-certificates вы могли бы сделать следующее, чтобы импортировать файл .crt:

1. Создайте каталог для дополнительных сертификатов CA в /usr/share/ca-certificates:

   sudo mkdir /usr/share/ca-certificates/extra

2. Скопируйте файл .crt в этот каталог:

   sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt

3. Добавить строку к /etc/ca-certificates.conf с помощью <folder name>/<.crt name>:

   echo "extra/foo.crt" >> /etc/ca-certificates.conf

4. Обновление сертификатов неинтерактивно с помощью sudo update-ca-сертификатов

   $ sudo update-ca-certificates...Updating certificates in /etc/ssl/certs...1 added, 0 removed; done.

Установите центр сертификации в Ubuntu

Я протестировал это на Ubuntu 14.04.

Вот мое решение, я долго искал и искал, пытаясь понять, как заставить это работать.

1. Извлеките файл .cer из браузера. Я использовал IE 11.
   • >>Настройки - Свойства Обозревателя - Промежуточные центры сертификации
   • Выберите Центр Сертификации, Который Вы Хотите Экспортировать (certutil -config - -ping покажет вам те, которые вы используете, если вы используете корпоративный прокси-сервер)
   • >Экспорт - Выберите Формат, Который Вы Хотите Использовать: DER Encoded .cer
2. Каким-то образом перенесите файлы .cer в Ubuntu
3. Преобразовать в .crt openssl x509 -inform DER -in certificate.cer -out certificate.crt
4. Создать дополнительный каталог sudo mkdir /usr/share/ca-certificates/extra
5. Копировать сертификаты поверх sudo cp certificate.crt /usr/share/ca-certificates/extra/certificate.crt
6. sudo update-ca-certificates
7. Если нет, то ты должен сделать то, что сделал я, пойти в sudo nano /etc/ca-certificates.conf
8. Прокрутите вниз и найдите свой .cer и удалите ! из перед именем файла (документ update-ca-certificates) - если вы не нашли свой сертификат, запустите dpkg-reconfigure ca-certificates
9. Бежать sudo update-ca-certificates
10. Возможно, вам придется индивидуально доверять CAS из Firefox, Chrome и т. Д., Мне это было нужно для работы с Docker, поэтому после этих шагов он работал с Docker.

Другие ответы не сработали для меня с Ubuntu 18.04.Добавьте сертификат certificate в /etc/ssl/certs/ca-certificates.crt используя следующую команду:

cat YOUR_CERT_HERE.crt >> /etc/ssl/certs/ca-certificates.crt 

Имейте сертификат (root / CA), доступный на веб-сервере, локальном для вашей сети, если хотите.

• Перейдите к нему с помощью Firefox.
• Откройте сертификат и попросите Firefox добавить его в качестве исключения.
• Firefox спросит вас, хотите ли вы доверять этому сертификату для идентификации веб-сайтов, для пользователей электронной почты или для издателей программного обеспечения.
• Наслаждайтесь!

Обновление: Необходимо будет проверить, работает ли это в Ubuntu 11. Я понял, что только что сделал это в Ubuntu 12.04 LTS.

Вот простые шаги:

1. Установите сертификаты CA, чтобы приложения на основе SSL могли проверять подлинность SSL-соединений.:

   sudo apt-get install ca-certificates

2. Скопировать файл сертификата (crt или .cer) в /usr/local/share/ca-certificates/ папка, например:

   sudo cp file.crt /usr/local/share/ca-certificates/

   Для получения информации о файле PEM см.: Преобразовать .pem в .crt и .key.

   При необходимости, при использовании прокси-сервера Charles, эта команда может работать:

   curl -L chls.pro/ssl | sudo tee /usr/local/share/ca-certificates/charles.crt

3. Обновлять сертификаты:

   sudo update-ca-certificates

   Команда обновит /etc/ssl/certs каталог для хранения SSL-сертификатов и генерирует ca-certificates.crt файл (объединенный список сертификатов из одного файла).

   Примечание: Не добавляйте сертификаты вручную (как было предложено здесь), так как они не являются постоянными и будут удалены.

^{Примечание: Если вы работаете как root, вы можете отказаться от sudo из приведенных выше команд.}

От здесь:

Установка сертификата

Вы можете установить пример ключевого файла.пример файла ключа и сертификата.crt или файла сертификата, выданного вашим центром сертификации, выполнив следующие команды в командной строке терминала:

sudo cp example.crt /etc/ssl/certssudo cp example.key /etc/ssl/private

Теперь просто настройте любые приложения с возможностью использования криптографии с открытым ключом для использования файлов сертификатов и ключей. Например, Apache может предоставлять HTTPS, Dovecot может предоставлять IMAPS и POP3S и т.д.

Добавить сертификат корневого центра сертификации в FireFox в настоящее время очень просто. Просто откройте настройки, перейдите в раздел "Конфиденциальность и безопасность", прокрутите вниз до раздела "Сертификаты" и нажмите "Просмотреть сертификаты...". Здесь вы можете нажать "Импортировать сертификат". Укажите на свой корневой центр сертификации (.pem) и ОК. Вот и все, ребята.

Если кто-нибудь приземляется здесь с файлом cer вместо crt, они такие же thing (только с другим расширением). Вы должны быть в состоянии следовать этим ответам и просто заменить имя файла.

Нет ли проблемы с UX, если есть 9 разных ответов? Есть ли в Ubuntu пользовательский интерфейс?

Кстати: для удобного способа получить сертификаты CA из командной строки, посмотрите здесь, при сбое сервера.