Как установить сертификат linux

Обновлено: 05.07.2024

Может кто-нибудь указать мне хороший учебник по установке корневого сертификата на Ubuntu 10 или 11?

Если кто-то приземляется здесь с файлом cer вместо crt, это одно и то же (только с другим расширением). Вы должны быть в состоянии следовать этим ответам и просто заменить имя файла.

Получив файл сертификата CA foo.crt , выполните следующие действия, чтобы установить его в Ubuntu:

Создайте каталог для дополнительных сертификатов CA в /usr/share/ca-certificates :

Скопируйте .crt файл CA в этот каталог:

Пусть Ubuntu добавить в .crt путь файла относительно /usr/share/ca-certificates к /etc/ca-certificates.conf :

Чтобы сделать это не в интерактивном режиме, выполните:

В случае .pem файла в Ubuntu, он должен быть сначала преобразован в .crt файл:

Как насчет использования /usr/local/share/ca-certificates (локально!) Вместо использования системного управления пакетами под управлением Directoy? Обратите внимание, что файл должен быть в формате PEM и иметь расширение .crt. sudo dpkg-reconfigure ca-certificates Спасибо, другой sudo update-ca-certificates --fresh не работал 16.10. Команда openssl x509 -in foo.pem -inform PEM -out foo.crt копирует файл PEM в файл PEM. Это можно сделать проще, переименовав.

Имея файл сертификата CA 'foo.crt', выполните следующие шаги, чтобы установить его в Ubuntu:

Сначала скопируйте свой CA в каталог /usr/local/share/ca-certificates/

затем обновите CA store

Вот и все. Вы должны получить этот вывод:

Файл не требуется редактировать. Ссылка на ваш ЦС создается автоматически.

Обратите внимание, что имена файлов сертификатов должны заканчиваться, в .crt противном случае update-ca-certificates сценарий их не зафиксирует.

Эта процедура работает и в более новых версиях: руководства .

Кажется, что это не сработает в верном времени 14.04 Обратите внимание, что, в отличие от добавления в / usr / share / ca-сертификаты, это работает только в том случае, если они находятся непосредственно в / usr / local / share / ca-сертификаты, а не в подкаталоге. +1 за использование локальной папки вместо системной папки!

Я проверил это на Ubuntu 14.04.

Вот мое решение, я долго искал и пытался понять, как заставить это работать.

Извлеките .cer из браузера. Я использовал IE 11.
- Настройки -> Свойства обозревателя -> Промежуточные центры сертификации
- Выберите центр сертификации, который вы хотите экспортировать ( certutil -config - -ping покажет вам те, которые вы используете, если вы находитесь за корпоративным прокси)
- Экспорт -> Выберите формат, который вы хотите использовать: DER Encoded .cer
Получить файлы .cer в Ubuntu как-то
Конвертировать в .crt openssl x509 -inform DER -in certificate.cer -out certificate.crt
Сделать дополнительный каталог sudo mkdir /usr/share/ca-certificates/extra
Копировать сертификаты sudo cp certificate.crt /usr/share/ca-certificates/extra/certificate.crt
sudo update-ca-certificates
Если нет, то вы должны сделать то, что я сделал, перейти к sudo nano /etc/ca-certificates.conf
Прокрутите вниз и найдите свой файл .cer и удалите ! из перед именем файла (документ update-ca-сертификаты) - если вы не обнаружили, что ваш сертификат запущен dpkg-reconfigure ca-certificates
Бегать sudo update-ca-certificates
Возможно, вам придется по отдельности доверять ЦС от Firefox, Chrome и т. Д., Мне нужно было работать с Docker, чтобы после этих шагов он работал с Docker.

Другие ответы не помогли мне с Ubuntu 18.04. Добавьте сертификат сертификата к /etc/ssl/certs/ca-certificates.crt следующей команде:

2 часа возиться с командами импорта, прежде чем я нашел это. Отлично! Команда не так, окончательный s отсутствует: cat YOUR_CERT_HERE.crt >> /etc/ssl/certs/ca-certificates.crt . Спасибо за это решение. Примечание. Это временное решение, так как добавленный сертификат будет удален после запуска update-ca-certificates .

Держите сертификат (root / CA) на веб-сервере, локальном для вашей сети, если хотите.

Перейдите к нему с помощью Firefox.
Откройте сертификат и скажите Firefox, чтобы добавить его в качестве исключения.
Firefox спросит вас, хотите ли вы доверять этому сертификату для идентификации веб-сайтов, для пользователей электронной почты или для издателей программного обеспечения.
Наслаждайтесь!

Обновление: необходимо проверить, работает ли это на Ubuntu 11. Я понял, что только что сделал это на Ubuntu 12.04 LTS.

не имеет Firefox свой собственный контейнер сертификатов? Если бы кто-то добавил сертификат таким способом, его мог бы использовать только Firefox, не так ли? Это не работает вообще, вы все равно должны добавить его в глобальный контейнер сертификации ОС, иначе он будет только в контейнере Firefox.

Вы можете установить файл ключа example.key и файл сертификата example.crt или файл сертификата, выданный центром сертификации, выполнив в командной строке терминала следующие команды:

Надо было прочитать поближе . Похоже, что это не для корневых сертификатов. На той странице, на которую я ссылался, есть информация о корневых сертификатах, которая может оказаться полезной. У меня нет открытого ключа и закрытого ключа, у меня просто есть .crt, поэтому, к сожалению, эти инструкции не применяются.

Добавить сертификат Root CA в FireFox сейчас очень просто. Просто откройте настройки, перейдите в «Конфиденциальность и безопасность», прокрутите вниз до «Сертификаты» и нажмите «Просмотреть сертификаты . ». Здесь вы можете нажать «Импортировать сертификат». Укажите ваш корневой CA (.pem) и ОК. Это все, ребята.

Вот простые шаги:

Установите сертификаты CA, чтобы приложения на основе SSL могли проверять подлинность соединений SSL:

Скопируйте файл сертификата ( crt или .cer ) в /usr/local/share/ca-certificates/ папку, например:

Опционально, если вы используете прокси Charles, эта команда может работать:

Команда обновит /etc/ssl/certs каталог для хранения сертификатов SSL и создаст ca-certificates.crt файл (составной список сертификатов с одним файлом).

Примечание. Не добавляйте сертификаты вручную (как предлагается здесь ), поскольку они не являются постоянными и будут удалены.

Примечание: если вы работаете как root , вы можете отказаться sudo от вышеуказанных команд.

Разъяснение между update-ca-certificates и dpkg-reconfigure ca-certificates и почему один работает , а другой нет !!

update-ca-certificates или sudo update-ca-certificates будет работать только если /etc/ca-certificates.conf был обновлен.

/etc/ca-certificate.conf обновляется только после запуска, dpkg-reconfigure ca-certificates который обновляет имена сертификатов для импорта в /etc/ca-certificates.conf

Это указано в заголовке /etc/ca-certificates.conf файла:

Как вы можете видеть, формат , в /etc/ca-certificates.conf это <folder name>/<.crt name>

Таким образом, чтобы использовать update-ca-certificates или sudo update-ca-certificates вы можете сделать следующее для импорта .crt:

Создайте каталог для дополнительных сертификатов CA в / usr / share / ca-сертификаты:

sudo mkdir /usr/share/ca-certificates/extra

Скопируйте файл .crt в этот каталог:

sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt

Добавить строку к /etc/ca-certificates.conf использованию <folder name>/<.crt name> :

echo "extra/foo.crt" >> /etc/ca-certificate.conf

Обновлять сертификаты не в интерактивном режиме с помощью sudo update-ca-Certificates

Как добавить корневой сертификат в доверенные в Linux на уровне системы

Сертификат с расширением .crt можно открыть двойным кликом и просмотреть его содержимое:

Если вы работаете в системе от обычного пользователя (не root), то кнопка «Импортировать» будет недоступна.

Чтобы разблокировать кнопку «Импортировать», выполните следующую команду:

Данный способ может не сработать, поэтому рассмотрим, как добавить доверенные корневые центры сертификации в командной строке.

Суть метода очень проста:

Добавить свой корневой CA сертификат в папку, предназначенную для таких сертификатов.
Запустить программу для обновления общесистемного списка сертификатов.

Пути и команды в разных дистрибутивах Linux чуть различаются.

Просмотреть Subject всех корневых CA сертификатов можно уже знакомой командой:

Для демонстрации я добавлю сертификат с Common Name, включающим «HackWare», тогда для проверки, имеется ли сертификат с таким именем среди корневых CA, я могу использовать команду:

Для добавления своего корневого CA в доверенные в Debian, Kali Linux, Linux Mint, Ubuntu и их производных:

1. Проверьте, существует ли директория /usr/local/share/ca-certificates:

Если её ещё нет, то создайте:

Сертификат должен быть в формате PEM (обычно так и есть) и иметь расширение .crt — если расширение вашего сертификата .pem, то достаточно просто поменять на .crt.

2. Скопируйте ваш сертификат командой вида:

3. Запустите следующую команду для обновления общесистемного списка:

Проверим наличие нашего CA сертификата среди доверенных:

Сертификат успешно найден:

Чтобы его удалить:

Для добавления своего корневого CA в доверенные в Arch Linux, BlackArch и их производных:

1. Выполните команду вида:

2. Обновите общесистемный список доверенных CA:

Чтобы удалить этот сертификат:

Добавление сертификатов в базу данных NSS

Некоторые приложения используют базу данных NSS, и у вас может быть необходимость добавить доверенные CA в неё.

Последующие изменения повлияют только на приложения, использующие базу данных NSS и учитывающие файл /etc/pki/nssdb.

1. Сначала создайте структуру каталогов для системных файлов базы данных NSS:

Затем создайте новый набор файлов базы данных. Пароль нужен для того, чтобы базу данных могли редактировать только люди, которые его знают. Если все пользователи в системе (и с доступом к резервным копиям) заслуживают доверия, этот пароль можно оставить пустым.

2. Убедитесь, что файлы базы данных доступны для чтения всем:

Примечание: вышеприведённые инструкции применимы только в том случае, если пока не существует общесистемного набора файлов базы данных NSS. Если он уже существует, то важно знать пароль для этого набора баз данных (конечно, если он защищён паролем).

3. Теперь, когда доступны файлы базы данных NSS, добавьте сертификат в хранилище следующим образом:

Биты доверия, используемые в приведённом выше примере, помечают сертификат как надёжный для подписи сертификатов, используемых для связи SSL/TLS. Имя (указывается после опции -n), используемое в команде, можно выбрать любое, но убедитесь, что его легко отличить от других сертификатов в магазине.

Аналогичные инструкции можно использовать для включения сертификата только в базу данных NSS конкретного пользователя:

Удаление из файлов базы данных NSS

Чтобы удалить сертификат из любой базы данных NSS, используйте команду certutil следующим образом. В этом примере используется общесистемное расположение базы данных NSS, но его можно легко изменить на пользовательское

Как добавить корневой сертификат в доверенные в Linux в веб браузеры

Chrome, Chromium, Firefox и созданные на их основе веб браузеры доверяют корневым сертификатам, установленным на уровне системы. То есть вам достаточно добавить в доверенные CA сертификат как это показано в предыдущем разделе.

Причём эти браузеры хотя и используют NSS, они игнорируют общесистемные сертификаты NSS, которые можно добавить в файл /etc/pki/nssdb!

Тем не менее приложения, которые используют NSS (такие как Firefox, Thunderbird, Chromium, Chrome) хранят свои списки доверенных сертификатов в файлах cert9.db. Чтобы добавить свой сертификат в каждый из этих файлов можно использовать скрипт.

Сохранить следующий код в файл CAtoCert9.sh:

В этом файле измените значение certfile на имя файла вашего сертификата и значение certname на имя вашего сертификата, сохраните и закройте файл.

Затем запустите его следующим образом:

В результате в домашней папке пользователя будут найдены все файлы cert9.db и в каждый из них будет добавлен указанный CA сертификат.

Вы можете добавить CA сертификаты в графическом интерфейсе каждого браузера.

В настройках Chrome: Конфиденциальность и безопасность → Безопасность → Настроить сертификаты → Центры сертификации
В настройках Chromium: Конфиденциальность и безопасность (выбрать «Ещё») → Настроить сертификаты → Центры сертификации

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

В настройках Firefox: Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».

От корневых сертификатов в системе может зависеть правильная работа при обращении к ресурсам, которые работают по зашифрованному каналу связи. Если данные сертификаты устареют, мы можем столкнуться с рядом проблем:

Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживания.

Установка из репозитория

Самый простой способ, который нужно попробовать, установить сертификаты из официального репозитория системы. В зависимости от ее типа, наши команды будут немного отличаться.

а) для систем на базе DEB (Debian, Ubuntu, Mint):

apt install ca-certificates

б) для систем на базе RPM (Rocky Linux, CentOS):

yum install ca-certificates

Если нам повезет и в репозитории будут обновленные корневые центры, наша работа закончена. Иначе, устанавливаем сертификаты вручную.

Загрузка пакета с сертификатами

Установка из репозитория может не дать нужного эффекта, если в нем находятся не самые свежие сертификаты или наша система сильно устарела или не имеет выхода в Интернет.

Полученный пакет устанавливаем в системе:

dpkg -i ca-certificates_*_all.deb

И обновляем корневые сертификаты:

Установка вручную

Пишу для себя, чтобы не забыть как делал. 95 % рабочее. На комментарии отвечаю, когда увижу.

пятница, 14 декабря 2018 г.

Установка сертификатов используя КриптоПРО в Linux

Для установки в uRoot админиских прав больше не нужно. Ради этого их с mRoot и разделили. Работает так: если ставить в uRoot - видно будет только текущему пользователю, даже если он root, но права не нужны и будет диалог с предупреждением. Если ставить в mRoot, то нужны права, видно будет всем и предупреждения не будет.

Установка корневого сертификата удостоверяющего центра:
$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file

/Загрузки/<название файла>.cer -store uRoot
$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file

/Загрузки/guts_2012.cer -store uRoot

Просмотор корневых сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -list -store uRoot

Удалить:
$ /opt/cprocsp/bin/amd64/certmgr -delete -store uRoot
$ /opt/cprocsp/bin/amd64/certmgr -delete -all -store uRoot

Установка списка отозванных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -inst -crl -file

Установка цепочки промежуточных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file

/Загрузки/<название файла>.p7b -store uca

$ /opt/cprocsp/bin/amd64/certmgr -inst -cert -file

/Загрузки/fk_2012.cer -store uca

Просмотор промежуточных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -list -store uca

Удалить:
$ /opt/cprocsp/bin/amd64/certmgr -delete -store uca

Установка сертификата с рутокена:
$ /opt/cprocsp/bin/amd64/certmgr -inst -cont '<путь к контейнеру, начинающийся на \\.\>' -store uMy

Установка сертификата из контейнера:
$ /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\\.\HDIMAGE\test'

Просмотор личных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -list -store uMy

Просмотр контейнеров, рутокенов
$ /opt/cprocsp/bin/amd64/csptest -keyset -enum -verifycontext -fqcn

Когда вы сгенерировали CSR-запрос и приобрели SSL сертификат, воспользуйтесь этой инструкцией по установке сертификата на веб-сервер Nginx под управлением Linux: Ubuntu, Debian или CentOS.

После заказа SSL сертификата файлы для его установки отразятся в панели управления (меню SSL): .CA - файл сертификата Центра Сертификации (Certificate Authority). .CRT - файл сертификата вашего веб-сайта.

Как загрузить нужные файла на веб-сервер

Прежде всего загрузите файлы .ca и .crt на веб-сервер. При отсутствии графического окружения рабочего стола на сервере загрузка файлов может осуществиться на другой компьютер. Впоследствии их можно будет перенести.

Внимание: предполагается, что нужная для применения пара закрытый/открытый ключ была создана на том же веб-сервере, куда будет перенесен приобретенный сертификат. При создании ключей на другом сервере следует также перенести файл закрытого ключа .key на ваш веб-сервер (аналогично описанной ниже процедуре копирования файлов сертификатов).

Как переносить сертификаты с компьютера Linux/Mac OS:

Проще всего – при помощи опции SCP, встроенной в возможность терминала вашего компьютера:

Скачайте файлы .CA и .CRT на локальный компьютер. Откройте терминал и папку с сохраненными сертификатами (напр., Downloads):

Скопируйте сертификаты вашего сайта и Центра Сертификации на веб-сервер:

scp - команда для копирования файлов

user - имя вашего пользователя для подключения к серверу через ssh (часто используется root)

1.1.1.1 - IP-адрес вашего веб-сервера

/etc/ssl - директория на удаленном сервере, куда следует сохранить загружаемые файлы.

Как переносить сертификаты с компьютера Windows:

Скачайте, установите и включите программу WinSCP. В открывшемся окне наберите данные для подключения к вашему серверу по SSH. Слева в окне отразятся файлы на локальном компьютере, справа - на подключенном удаленном сервере. Выберите или создайте директорию, куда нужно сохранить сертификаты, в правой части окна. Перетащите файлы .CA и .CRT в эту директорию из левой части окна.

Внимание: можно перенести файл закрытого ключа (.key) для удобства в ту же директорию, куда вы скопировали файлы сертификатов. Если вы не делаете этого, просто запомните путь до этого файла и потом укажите его в файле конфигурации Apache вместо пути, рассмотренном в нашем примере.

Если закрытый ключ .key сгенерирован прямо на сервере, то для его копирования в другую директорию подойдет команда:

cp /home/root/private.key /etc/ssl/private.key

cp - команда копирования

/home/root/ - путь до файла ключа

private.key - имя файла ключа

/etc/ssl/private.key - путь, по которому необходимо скопировать файл ключа

Вы можете удалить файл ключа из старого расположения такой командой:

Как настроить веб-сервер Nginx на применение SSL сертификата

После копирования файлов сертификата сайта и Центра Сертификации вы должны отредактировать параметры вашего веб-сервера Nginx. Подключитесь к вашему серверу по SSH от имени пользователя root и выполните такие действия:

1. Объедините файлы сертификата Центра Сертификации (.CA) и сертификата вашего веб-сайта (.CRT) в один документ:

2. Откройте файл конфигурации сайта, для которого устанавливается SSL сертификат. Если, к примеру, параметры веб-сайта хранятся в файле /etc/nginx/sites-enabled/default:

Внимание: На Ubuntu/Debian файлы параметров сайтов Nginx обычно располагаются в директории /etc/nginx/sites-enabled/ . На CentOS стандартное расположение - /etc/nginx/conf.d/

Для поиска интересующей конфигурации подойдет команда ls /директория/конфигураций (напр. ls /etc/nginx/sites-enabled), отображающая полный список файлов в нужной директории.

Внимание для CentOS: если на сервере не установлен редактор nano, используйте такую команду для его установки:

используйте такую команду для его установки:

yum install nano

Затем добавьте приведенные ниже параметры в открытый файл конфигурации:

listen 443 ssl;
ssl_certificate /etc/ssl/mydomain.crt;
ssl_certificate_key /etc/ssl/private.key;

/etc/ssl/mydomain.crt - путь до файла сертификатов вашего сайта и центра сертификации

/etc/ssl/private.key - путь к файлу вашего закрытого ключа

(изменения выделены жирным шрифтом).

Перезапустите сервис nginx:

service nginx restart

Ubuntu 16.04:

ufw allow 443/tcp

iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT

Читайте также: