Как установить certutil ubuntu

Обновлено: 04.07.2024

Может кто-нибудь указать мне хороший учебник по установке корневого сертификата на Ubuntu 10 или 11?

Если кто-то приземляется здесь с файлом cer вместо crt, это одно и то же (только с другим расширением). Вы должны быть в состоянии следовать этим ответам и просто заменить имя файла.

Получив файл сертификата CA foo.crt , выполните следующие действия, чтобы установить его в Ubuntu:

Создайте каталог для дополнительных сертификатов CA в /usr/share/ca-certificates :

Скопируйте .crt файл CA в этот каталог:

Пусть Ubuntu добавить в .crt путь файла относительно /usr/share/ca-certificates к /etc/ca-certificates.conf :

Чтобы сделать это не в интерактивном режиме, выполните:

В случае .pem файла в Ubuntu, он должен быть сначала преобразован в .crt файл:

Как насчет использования /usr/local/share/ca-certificates (локально!) Вместо использования системного управления пакетами под управлением Directoy? Обратите внимание, что файл должен быть в формате PEM и иметь расширение .crt. sudo dpkg-reconfigure ca-certificates Спасибо, другой sudo update-ca-certificates --fresh не работал 16.10. Команда openssl x509 -in foo.pem -inform PEM -out foo.crt копирует файл PEM в файл PEM. Это можно сделать проще, переименовав.

Имея файл сертификата CA 'foo.crt', выполните следующие шаги, чтобы установить его в Ubuntu:

Сначала скопируйте свой CA в каталог /usr/local/share/ca-certificates/

затем обновите CA store

Вот и все. Вы должны получить этот вывод:

Файл не требуется редактировать. Ссылка на ваш ЦС создается автоматически.

Обратите внимание, что имена файлов сертификатов должны заканчиваться, в .crt противном случае update-ca-certificates сценарий их не зафиксирует.

Эта процедура работает и в более новых версиях: руководства .

Кажется, что это не сработает в верном времени 14.04 Обратите внимание, что, в отличие от добавления в / usr / share / ca-сертификаты, это работает только в том случае, если они находятся непосредственно в / usr / local / share / ca-сертификаты, а не в подкаталоге. +1 за использование локальной папки вместо системной папки!

Я проверил это на Ubuntu 14.04.

Вот мое решение, я долго искал и пытался понять, как заставить это работать.

1. Извлеките .cer из браузера. Я использовал IE 11.
   • Настройки -> Свойства обозревателя -> Промежуточные центры сертификации
   • Выберите центр сертификации, который вы хотите экспортировать ( certutil -config - -ping покажет вам те, которые вы используете, если вы находитесь за корпоративным прокси)
   • Экспорт -> Выберите формат, который вы хотите использовать: DER Encoded .cer
2. Получить файлы .cer в Ubuntu как-то
3. Конвертировать в .crt openssl x509 -inform DER -in certificate.cer -out certificate.crt
4. Сделать дополнительный каталог sudo mkdir /usr/share/ca-certificates/extra
5. Копировать сертификаты sudo cp certificate.crt /usr/share/ca-certificates/extra/certificate.crt
6. sudo update-ca-certificates
7. Если нет, то вы должны сделать то, что я сделал, перейти к sudo nano /etc/ca-certificates.conf
8. Прокрутите вниз и найдите свой файл .cer и удалите ! из перед именем файла (документ update-ca-сертификаты) - если вы не обнаружили, что ваш сертификат запущен dpkg-reconfigure ca-certificates
9. Бегать sudo update-ca-certificates
10. Возможно, вам придется по отдельности доверять ЦС от Firefox, Chrome и т. Д., Мне нужно было работать с Docker, чтобы после этих шагов он работал с Docker.

Другие ответы не помогли мне с Ubuntu 18.04. Добавьте сертификат сертификата к /etc/ssl/certs/ca-certificates.crt следующей команде:

2 часа возиться с командами импорта, прежде чем я нашел это. Отлично! Команда не так, окончательный s отсутствует: cat YOUR_CERT_HERE.crt >> /etc/ssl/certs/ca-certificates.crt . Спасибо за это решение. Примечание. Это временное решение, так как добавленный сертификат будет удален после запуска update-ca-certificates .

Держите сертификат (root / CA) на веб-сервере, локальном для вашей сети, если хотите.

• Перейдите к нему с помощью Firefox.
• Откройте сертификат и скажите Firefox, чтобы добавить его в качестве исключения.
• Firefox спросит вас, хотите ли вы доверять этому сертификату для идентификации веб-сайтов, для пользователей электронной почты или для издателей программного обеспечения.
• Наслаждайтесь!

Обновление: необходимо проверить, работает ли это на Ubuntu 11. Я понял, что только что сделал это на Ubuntu 12.04 LTS.

не имеет Firefox свой собственный контейнер сертификатов? Если бы кто-то добавил сертификат таким способом, его мог бы использовать только Firefox, не так ли? Это не работает вообще, вы все равно должны добавить его в глобальный контейнер сертификации ОС, иначе он будет только в контейнере Firefox.

Вы можете установить файл ключа example.key и файл сертификата example.crt или файл сертификата, выданный центром сертификации, выполнив в командной строке терминала следующие команды:

Надо было прочитать поближе . Похоже, что это не для корневых сертификатов. На той странице, на которую я ссылался, есть информация о корневых сертификатах, которая может оказаться полезной. У меня нет открытого ключа и закрытого ключа, у меня просто есть .crt, поэтому, к сожалению, эти инструкции не применяются.

Добавить сертификат Root CA в FireFox сейчас очень просто. Просто откройте настройки, перейдите в «Конфиденциальность и безопасность», прокрутите вниз до «Сертификаты» и нажмите «Просмотреть сертификаты . ». Здесь вы можете нажать «Импортировать сертификат». Укажите ваш корневой CA (.pem) и ОК. Это все, ребята.

Вот простые шаги:

Установите сертификаты CA, чтобы приложения на основе SSL могли проверять подлинность соединений SSL:

Скопируйте файл сертификата ( crt или .cer ) в /usr/local/share/ca-certificates/ папку, например:

Опционально, если вы используете прокси Charles, эта команда может работать:

Команда обновит /etc/ssl/certs каталог для хранения сертификатов SSL и создаст ca-certificates.crt файл (составной список сертификатов с одним файлом).

Примечание. Не добавляйте сертификаты вручную (как предлагается здесь ), поскольку они не являются постоянными и будут удалены.

Примечание: если вы работаете как root , вы можете отказаться sudo от вышеуказанных команд.

Разъяснение между update-ca-certificates и dpkg-reconfigure ca-certificates и почему один работает , а другой нет !!

update-ca-certificates или sudo update-ca-certificates будет работать только если /etc/ca-certificates.conf был обновлен.

/etc/ca-certificate.conf обновляется только после запуска, dpkg-reconfigure ca-certificates который обновляет имена сертификатов для импорта в /etc/ca-certificates.conf

Это указано в заголовке /etc/ca-certificates.conf файла:

Как вы можете видеть, формат , в /etc/ca-certificates.conf это <folder name>/<.crt name>

Таким образом, чтобы использовать update-ca-certificates или sudo update-ca-certificates вы можете сделать следующее для импорта .crt:

Создайте каталог для дополнительных сертификатов CA в / usr / share / ca-сертификаты:

sudo mkdir /usr/share/ca-certificates/extra

Скопируйте файл .crt в этот каталог:

sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt

Добавить строку к /etc/ca-certificates.conf использованию <folder name>/<.crt name> :

echo "extra/foo.crt" >> /etc/ca-certificate.conf

Обновлять сертификаты не в интерактивном режиме с помощью sudo update-ca-Certificates

Как добавить корневой сертификат в доверенные в Linux на уровне системы

Сертификат с расширением .crt можно открыть двойным кликом и просмотреть его содержимое:

Если вы работаете в системе от обычного пользователя (не root), то кнопка «Импортировать» будет недоступна.

Чтобы разблокировать кнопку «Импортировать», выполните следующую команду:

Данный способ может не сработать, поэтому рассмотрим, как добавить доверенные корневые центры сертификации в командной строке.

Суть метода очень проста:

1. Добавить свой корневой CA сертификат в папку, предназначенную для таких сертификатов.
2. Запустить программу для обновления общесистемного списка сертификатов.

Пути и команды в разных дистрибутивах Linux чуть различаются.

Просмотреть Subject всех корневых CA сертификатов можно уже знакомой командой:

Для демонстрации я добавлю сертификат с Common Name, включающим «HackWare», тогда для проверки, имеется ли сертификат с таким именем среди корневых CA, я могу использовать команду:

Для добавления своего корневого CA в доверенные в Debian, Kali Linux, Linux Mint, Ubuntu и их производных:

1. Проверьте, существует ли директория /usr/local/share/ca-certificates:

Если её ещё нет, то создайте:

Сертификат должен быть в формате PEM (обычно так и есть) и иметь расширение .crt — если расширение вашего сертификата .pem, то достаточно просто поменять на .crt.

2. Скопируйте ваш сертификат командой вида:

3. Запустите следующую команду для обновления общесистемного списка:

Проверим наличие нашего CA сертификата среди доверенных:

Сертификат успешно найден:

Чтобы его удалить:

Для добавления своего корневого CA в доверенные в Arch Linux, BlackArch и их производных:

1. Выполните команду вида:

2. Обновите общесистемный список доверенных CA:

Чтобы удалить этот сертификат:

Добавление сертификатов в базу данных NSS

Некоторые приложения используют базу данных NSS, и у вас может быть необходимость добавить доверенные CA в неё.

Последующие изменения повлияют только на приложения, использующие базу данных NSS и учитывающие файл /etc/pki/nssdb.

1. Сначала создайте структуру каталогов для системных файлов базы данных NSS:

Затем создайте новый набор файлов базы данных. Пароль нужен для того, чтобы базу данных могли редактировать только люди, которые его знают. Если все пользователи в системе (и с доступом к резервным копиям) заслуживают доверия, этот пароль можно оставить пустым.

2. Убедитесь, что файлы базы данных доступны для чтения всем:

Примечание: вышеприведённые инструкции применимы только в том случае, если пока не существует общесистемного набора файлов базы данных NSS. Если он уже существует, то важно знать пароль для этого набора баз данных (конечно, если он защищён паролем).

3. Теперь, когда доступны файлы базы данных NSS, добавьте сертификат в хранилище следующим образом:

Биты доверия, используемые в приведённом выше примере, помечают сертификат как надёжный для подписи сертификатов, используемых для связи SSL/TLS. Имя (указывается после опции -n), используемое в команде, можно выбрать любое, но убедитесь, что его легко отличить от других сертификатов в магазине.

Аналогичные инструкции можно использовать для включения сертификата только в базу данных NSS конкретного пользователя:

Удаление из файлов базы данных NSS

Чтобы удалить сертификат из любой базы данных NSS, используйте команду certutil следующим образом. В этом примере используется общесистемное расположение базы данных NSS, но его можно легко изменить на пользовательское

Как добавить корневой сертификат в доверенные в Linux в веб браузеры

Chrome, Chromium, Firefox и созданные на их основе веб браузеры доверяют корневым сертификатам, установленным на уровне системы. То есть вам достаточно добавить в доверенные CA сертификат как это показано в предыдущем разделе.

Причём эти браузеры хотя и используют NSS, они игнорируют общесистемные сертификаты NSS, которые можно добавить в файл /etc/pki/nssdb!

Тем не менее приложения, которые используют NSS (такие как Firefox, Thunderbird, Chromium, Chrome) хранят свои списки доверенных сертификатов в файлах cert9.db. Чтобы добавить свой сертификат в каждый из этих файлов можно использовать скрипт.

Сохранить следующий код в файл CAtoCert9.sh:

В этом файле измените значение certfile на имя файла вашего сертификата и значение certname на имя вашего сертификата, сохраните и закройте файл.

Затем запустите его следующим образом:

В результате в домашней папке пользователя будут найдены все файлы cert9.db и в каждый из них будет добавлен указанный CA сертификат.

Вы можете добавить CA сертификаты в графическом интерфейсе каждого браузера.

• В настройках Chrome: Конфиденциальность и безопасность → Безопасность → Настроить сертификаты → Центры сертификации
• В настройках Chromium: Конфиденциальность и безопасность (выбрать «Ещё») → Настроить сертификаты → Центры сертификации

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

• В настройках Firefox: Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».

Настоящее время использование SSL-сертификатов на веб-сайтах имеет первостепенное значение, учитывая, что они обеспечивают пользователю уровень безопасности и уверенности в отношении сайта, который их использует, в дополнение к тому факту, что в течение нескольких дней Chrome уже отмечал и предупреждал пользователей о сайтах, которые их не используют.

En В этой статье мы воспользуемся возможностью узнать об инструменте, позволяющем устанавливать сертификаты SSL локально в нашей системе.

Mkcert - это простой инструмент, который можно использовать для локального производства доверенных сертификатов. Не требует настройки. Всегда опасно или невозможно использовать действительные сертификаты центра сертификации для localhost или 127.0.0.1. Даже использование подписанных сертификатов по-прежнему не рекомендуется, поскольку они вызывают ошибки доверия.

Мкцерт предоставляет нам лучшее решение этой проблемы, управляя собственным ЦС. Это автоматически создаст и установит локальный ЦС в корне системы и сгенерирует доверенные сертификаты локально.

В случае сертификатов SSL для веб-страниц вы можете воспользоваться некоторыми другими бесплатными альтернативами, такими как openSSL.

• Система настроена с Go 1.10+ и привилегиями root.
• Инструмент базы данных сертификатов (Certutil)

Перейти к установке

Go - язык программирования общего назначения с помощью которых мы можем создавать самые разные приложения. Go и его инструменты доступны в нашем репозитории по умолчанию.. Мы можем установить GO на Ubuntu 18.04, просто выполнив эту команду.

Y мы можем проверить установку с помощью:

Сейчас мы можем создать файл по следующему пути "/Etc/profile.d/goenv.sh" для всей переменной среды следующим образом:

А внутри мы должны разместить:

Установка Apache

Следующим шагом будет установка нашего веб-сервера и включение SSL. использовать эти сертификаты доверия разработки локально. Мы можем установить apache, используя следующую команду.

Установка Certutil

Certutil Database Tool - это простая утилита командной строки, которая может создавать и изменять сертификаты и их базы данных.

Его можно использовать специально для составления списка, создания, изменения или удаления сертификатов. Его даже можно использовать для создания или изменения пароля, генерации новых пар открытого и закрытого ключей.

Чтобы установить его, просто введите следующую команду:

Установка Mkcert

Чтобы установить этот инструмент просто скачайте код с GitHub, для этого нам нужно только ввести:

Y мы компилируем инструмент с помощью:

сделать [/ исходный код]

Сейчас мы можем скопировать этот двоичный файл mkcert из установочной папки / usr / bin / папка для использования на уровне сервера.

Наконец, мы можем сгенерировать наш локальный сертификат с помощью этой команды:

Это создается и сохраняется в пути /root/.local/share/mkcert

По обычно сертификат CA и его ключ хранятся в папке данных приложения в «домашней» папке пользователя.

Местоположение также можно получить с помощью команды mkcert -CAROOT.

Сейчас Мы можем использовать этот инструмент для создания сертификатов доверия локальных разработчиков по мере необходимости:

Как сообщается в этой команде, локально созданные доверенные сертификаты сохраняются в пути, откуда запускается эта команда.

Эти сертификаты можно переместить, например:

Сейчас вам необходимо изменить файл SSL по умолчанию, расположенный по адресу /etc/apache2/sites-available/default-ssl.conf

Теперь вы можете включить модуль SSL и перезапустить службу Apache 2, чтобы эти изменения вступили в силу.

Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Полный путь к статье: Убунлог » ПО » Mkcert: инструмент для создания SSL-сертификатов для локальной разработки

В этой статье я расскажу, как установить mkcert, инструмент zero-config в нашей последней системе Ubuntu.

Он не требует какой-либо конфигурации.

Всегда опасно или невозможно использовать сертификаты от реальных центров сертификации для localhost или 127.0.0.1.

Даже использование самоподписанных сертификатов также не рекомендуется, так как они вызывают ошибки доверия.

Mkcert предоставляет нам лучшее решение для этого, управляя собственным CA.

Это автоматически создаст и установит локальный ЦС в корневом хранилище системы и создаст сертификаты с локальным доверием.

Давайте посмотрим шаги для установки mkcert.

Предварительные условия

• Хорошо сконфигурированный сервер с привилегиями Go 1.10+ и root.
• Инструмент базы данных сертификатов (Certutil)

Установка Golang

Язык и его инструментальные средства доступны в нашем репозитории по умолчанию.

Мы можем установить язык Go в Ubuntu 18.04, просто выполнив эту команду.

Теперь мы можем создать файл «/etc/profile.d/goenv.sh» для настройки переменной окружения Go по всему серверу, как показано ниже:

Установка Certutil

Он может быть специально использован для отображения, генерации, изменения или удаления сертификатов.

Его можно даже использовать для создания или изменения пароля, создания новых пар public / private key.

Кроме того, он отображает содержимое базы данных ключей или удаляет пары ключей в базе данных ключей.

На нашем сервере Ubuntu мы можем установить его, выполнив следующую команду:

Установка Mkcert

В зависимости от нашей платформы и требований ОС нам нужно загрузить исходный файл для инструмента Mkcert.

Теперь мы можем скопировать этот двоичный файл mkcert из папки установки в папку /usr/bin/, чтобы использовать ее на сервере.

Наконец, мы можем создать наш локальный ЦС для создания наших сертификатов с помощью этой команды:

Наш корневой root CA будет создан и сохранен по пути /root/.local/share/mkcert.

Обычно сертификат ЦС и его ключ хранятся в папке данных приложения в домашнем доме пользователя.

Местоположение можно также получить с помощью команды mkcert -CAROOT.

Теперь мы можем использовать этот инструмент для создания локально доверенных сертификатов разработки по мере необходимости:

Как сообщается в этом выполнении команды, сгенерированные локально доверенные сертификаты сохраняются в пути от того места, где мы запускаем эту команду.

В моем случае мои сертификаты создаются в /root.

Я просто переместил эти файлы в папку /etc/ssl, как показано ниже:

Включение сертификатов на Apache2

Я установил Apache2 и включил SSL, чтобы использовать это.

Во-вторых, отредактируйте файл SSL, расположенный по адресу /etc/apache2/sites-available/default-ssl.conf, с нашим локально сгенерированным сертификатом SSL и ключевыми данными, как показано ниже:

Теперь вы можете включить модуль SSL и перезапустить службу Apache2, чтобы сделать эти изменения эффективными.

Измените имя сервера, если это необходимо. Его можно задать в окне менеджера сервера:

Добавим службу Active Dirrectory и DNS на сервер. Для этого откроем окно добавления ролей в менеджере сервера:

В окне для выбора сервисов установим галочки "Active Directory Domain Services" и "DNS Server":

Во всех остальных пунктах даем согласие на установку.

После завершения установки сервисов вам надо перейти к настройке домена. Для этого откройте меню уведомлений и выберите пункт "Promote this server to a domain controller":

На первой вкладке укажите опцию для создания нового домена и укажите его название:

Введите пароль сброса:

На следующей вкладке оставляем все как есть., т.к. наш сервер сам является DNS сервером:

На следующих трёх вкладках также оставляем все как есть:

Перед запуском процесса установки ознакомимся с уведомлениями об ошибках.. И если необходимо, устраняем возникшие проблемы. В нашем случае уведомления не являются критичными:

После установки Active Directory сервер перезагрузится. Если настройка прошла успешно, то нас попросят войти в аккаунт на этот раз доменного пользователя:

Добавление новых пользователей:

Откроем утилиту управления пользователями и компьютерами домена:

Для удобства можно создать отдельную дирректорию Domain Users, где будем создавать доменных пользователей:

Добавим нового пользователя user:

Аналогичным образом добавьте остальных пользователей, которые должны быть в домене.

Установка центра сертификации Active Directory:

Установите драйверы для работы с Рутокеном на сервер. Их можно получить тут. После этого можно приступить к настройке центра сертификации и выдачи сертификатов для пользователей. Это можно сделать по данной инструкции. Настройку авторизации с помощью сертификатов можно воспроизвести по этой инструкции.

Для пользоватей Linux

Его можно получить здесь:

Настройка подключения к домену

Astra Linux Smolensk

Для Astra Linux Smolensk чтобы подключиться к домену (не настраивая двухфакторную аутентификацию), можно воспользоваться следующей инструкцией.

Если во время выполнения инструкции панель " Настройки клиента Active Directory " не будет запускаться, то введите в командной строке следующую команду:

Она предоставит пользователю root доступ к графическому интерфейсу среды.

В первую очередь настроим подключение к домену. Это можно сделать с помощью следующей последовательности команд:

Настройка автоматического создания домашней директории

Когда доменный пользователь аутентифицируется в системе необходимо чтобы для него автоматически создавался домашний каталог.

Это можно сделать в настройках pam. Для этого в файле

/etc/pam.d/common-session для систем основанных на Debian

/etc/pam.d/system-auth для систем основанных на Red Hat

/etc/pam.d/system-auth-sss-only для пользователей Alt linux

активируем модуль pam_mkhomedir.so, после pam_sss.so. Содержимое файла будет выглядеть следующем образом:

Проверка аутентификации под пользователем в домене без Рутокена

Если в домене есть пользователь user, под которым можно аутентифицироваться без смарт-карты, то можно проверить предыдущую надстройку аутентифицируясь под ним. Для начала можно попробовать аутнетифицироваться через командную строку:

Настройка клиента для аутентфикации в домене с помощью Рутокена

Упрощенная настройка

Для упрощенной настройки можно воспользоваться утилитой для работы с токенами. Описание упрощенной настройки можно прочитать тут.

Ручная настройка

Установка необходимых пакетов для работу:

Для ручной настройки также потребуется установить библиотеку librtpkcs11ecp. Ее можно получить тут. Установим данную библиотеку.

Читайте также:

  
• Как удалить фортнайт с компьютера виндовс 10
  
• Системе не удается найти указанный путь c windows syswow64
  
• Как сделать хакерский экран виндовс 10
  
• Как установить virustotal на windows 10
  
• Пропала папка program files x86 windows 10