Ubuntu как установить сертификат cer

Обновлено: 06.07.2024

Может кто-нибудь указать мне хороший учебник по установке корневого сертификата на Ubuntu 10 или 11?

Имеется файл сертификата CA foo.crt выполните следующие шаги, чтобы установить его в Ubuntu:

Создайте каталог для дополнительных сертификатов CA в /usr/share/ca-certificates :

Скопируйте CA .crt файл в этот каталог:

Пусть Ubuntu добавит .crt путь к файлу относительно /usr/share/ca-certificates в /etc/ca-certificates.conf :

Чтобы сделать это не в интерактивном режиме, выполните:

В случае .pem файл в Ubuntu, он должен быть сначала преобразован в .crt файл:

Имея файл сертификата CA 'foo.crt', выполните следующие шаги, чтобы установить его в Ubuntu:

Сначала скопируйте свой CA в каталог /usr/local/share/ca-certificates/

затем обновите CA store

Это все. Вы должны получить этот вывод:

Файл не требуется редактировать. Ссылка на ваш ЦС создается автоматически.

Обратите внимание, что имена файлов сертификатов должны заканчиваться на .crt в противном случае update-ca-certificates сценарий не подхватит их.

Эта процедура работает и в более новых версиях: руководства.

Я проверил это на Ubuntu 14.04.

Вот мое решение, я долго искал и пытался понять, как заставить это работать.

1. Извлеките.cer из браузера. Я использовал IE 11.
   • Настройки -> Свойства обозревателя -> Промежуточные центры сертификации
   • Выберите центр сертификации, который вы хотите экспортировать ( certutil -config - -ping покажет вам те, которые вы используете, если вы находитесь за корпоративным прокси)
   • Экспорт -> Выберите формат, который вы хотите использовать: DER Encoded .cer
2. Получить файлы.cer в Ubuntu как-то
3. Конвертировать в.crt openssl x509 -inform DER -in certificate.cer -out certificate.crt
4. Сделать дополнительный каталог sudo mkdir /usr/share/ca-certificates/extra
5. Копировать сертификаты sudo cp certificate.crt /usr/share/ca-certificates/extra/certificate.crt
6. sudo update-ca-certificates
7. Если нет, то вы должны сделать то, что я сделал, перейти к sudo nano /etc/ca-certificates.conf
8. Прокрутите вниз и найдите свой.cer и удалите ! перед именем файла (update-ca-Certificate Doc) - если вы не нашли свой сертификат запущенным dpkg-reconfigure ca-certificates
9. Бежать sudo update-ca-certificates
10. Возможно, вам придется по отдельности доверять ЦС от Firefox, Chrome и т. Д., Мне нужно было работать с Docker, чтобы после этих шагов он работал с Docker.

Другие ответы не помогли мне с Ubuntu 18.04. Добавить сертификат сертификата в /etc/ssl/certs/ca-certificates.crt используя следующую команду:

Держите сертификат (root / CA) на веб-сервере, локальном для вашей сети, если хотите.

• Перейдите к нему с помощью Firefox.
• Откройте сертификат и скажите Firefox, чтобы добавить его в качестве исключения.
• Firefox спросит вас, хотите ли вы доверять этому сертификату для идентификации веб-сайтов, для пользователей электронной почты или для издателей программного обеспечения.
• Наслаждайтесь!

Обновление: необходимо проверить, работает ли это на Ubuntu 11. Я понял, что только что сделал это на Ubuntu 12.04 LTS.

Вы можете установить файл ключа example.key и файл сертификата example.crt или файл сертификата, выданный центром сертификации, выполнив в командной строке терминала следующие команды:

Добавить сертификат Root CA в FireFox сейчас очень просто. Просто откройте настройки, перейдите в "Конфиденциальность и безопасность", прокрутите вниз до "Сертификаты" и нажмите "Просмотреть сертификаты. ". Здесь вы можете нажать "Импортировать сертификат". Укажите ваш корневой CA (.pem) и ОК. Это все, ребята.

Разъяснение между update-ca-certificates а также dpkg-reconfigure ca-certificates и почему один работает, а другой нет!!

update-ca-certificates или же sudo update-ca-certificates будет работать только если /etc/ca-certificates.conf был обновлен

/etc/ca-certificate.conf обновляется только после запуска dpkg-reconfigure ca-certificates который обновляет имена сертификатов для импорта в /etc/ca-certificates.conf

Это указано в заголовке /etc/ca-certificates.conf файл:

Как видите, формат в /etc/ca-certificates.conf является <folder name>/<.crt name>

Итак, чтобы использовать update-ca-certificates или же sudo update-ca-certificates Вы можете сделать следующее для импорта.crt:

Создайте каталог для дополнительных сертификатов CA в /usr/share/ca-сертификаты:

sudo mkdir /usr/share/ca-certificates/extra

Скопируйте файл.crt в этот каталог:

sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt

Добавить строку к /etc/ca-certificates.conf с помощью <folder name>/<.crt name> :

echo "extra/foo.crt" >> /etc/ca-certificate.conf

Обновлять сертификаты не в интерактивном режиме с помощью sudo update-ca-Certificates

Может ли кто-нибудь указать мне на хороший учебник по установке корневого сертификата на ubuntu 10 или 11?

Для файла сертификата CA «foo.crt» выполните следующие шаги, чтобы установить его на Ubuntu:

Сначала скопируйте свой CA в каталог /usr/local/share/ca-certificates/

то, обновить CA store

Вот и все. Вы должны получить этот вывод:

Для редактирования файла не требуется. Ссылка на ваш CA создается автоматически.

Обратите внимание, что имена файлов сертификатов должны заканчиваться на .crt, в противном случае скрипт update-ca-certificates не будет на них нажимать.

Эта процедура работает и в более новых версиях: руководства.

это, похоже, не работает в надежном tahr 14.04 – mcantsin 29 March 2014 в 01:21 Обратите внимание: в отличие от добавления в / usr / share / ca-cert, это работает, только если они находятся непосредственно в / usr / local / share / ca-cert, а не в подкаталоге. +1 для использования локальной папки вместо системной папки! – Toby J 8 April 2014 в 10:11 Используйте эту команду для преобразования * .pem в *. Crt : openssl x509 -outform der -in in_file.pem -out out_file.crt – Nelson G. 1 June 2016 в 13:20 Я должен был сделать openssl x509 -outform pem -in in_file.pem -out out_file.crt. Жалобы на «многочисленные сертификаты» в файле CRT, если я сделал -outform der. – Dave Hein 30 December 2016 в 00:50

Я тестировал это на Ubuntu 14.04.

Вот мое решение, я смотрел и долго искал, пытаясь понять, как заставить это работать.

Извлеките .cer из браузера. Я использовал IE 11. Настройки -> Свойства обозревателя -> Промежуточные центры сертификации Выберите Центр сертификации, который вы хотите экспортировать (certutil -config - -ping покажет вам те, которые вы используете, если вы находитесь за корпоративным прокси). Экспорт -> Выберите формат. Хотите использовать: DER Encoded .cer Получить файлы .cer для Ubuntu каким-то образом Преобразовать в .crt openssl x509 -inform DER -in certificate.cer -out certificate.crt Сделать дополнительную директорию sudo mkdir /usr/share/ca-certificates/extra Копировать сертификаты через sudo cp certificate.crt /usr/share/ca-certificates/extra/certificate.crt sudo update-ca-certificates Если нет, то вам нужно делать то, что я сделал, перейдите к sudo nano /etc/ca-certificates.conf Прокрутите вниз и найдите свой .cer и удалите ! перед именем файла (update-ca-certificates doc) Запуск sudo update-ca-certificates Возможно, вам придется индивидуально доверять CA из Firefox, Chrome, и т. д., мне нужно было работать с Docker, поэтому после этих шагов он работал с Docker.

@endolith работал для меня в 16.04. – Shubham Aggarwal 25 July 2017 в 09:19

Имеются ли сертификаты (root / CA) на веб-сервере, локально в вашей сети, если хотите.

Просмотрите его с помощью Firefox. Откройте сертификат и сообщите Firefox, чтобы добавить его в качестве исключения. Firefox спросит вас, хотите ли вы доверять этому сертификату для идентификации веб-сайтов, пользователей электронной почты или издателей программного обеспечения. Наслаждайтесь!

Обновление: нужно будет проверить, работает ли это на Ubuntu 11. Я понял, что я просто сделал это на Ubuntu 12.04 LTS.

Может кто-нибудь указать мне хороший учебник по установке корневого сертификата на Ubuntu 10 или 11?

Если кто-то приземляется здесь с файлом cer вместо crt, это одно и то же (только с другим расширением). Вы должны быть в состоянии следовать этим ответам и просто заменить имя файла.

Получив файл сертификата CA foo.crt , выполните следующие действия, чтобы установить его в Ubuntu:

Создайте каталог для дополнительных сертификатов CA в /usr/share/ca-certificates :

Скопируйте .crt файл CA в этот каталог:

Пусть Ubuntu добавить в .crt путь файла относительно /usr/share/ca-certificates к /etc/ca-certificates.conf :

Чтобы сделать это не в интерактивном режиме, выполните:

В случае .pem файла в Ubuntu, он должен быть сначала преобразован в .crt файл:

Как насчет использования /usr/local/share/ca-certificates (локально!) Вместо использования системного управления пакетами под управлением Directoy? Обратите внимание, что файл должен быть в формате PEM и иметь расширение .crt. sudo dpkg-reconfigure ca-certificates Спасибо, другой sudo update-ca-certificates --fresh не работал 16.10. Команда openssl x509 -in foo.pem -inform PEM -out foo.crt копирует файл PEM в файл PEM. Это можно сделать проще, переименовав.

Имея файл сертификата CA 'foo.crt', выполните следующие шаги, чтобы установить его в Ubuntu:

Сначала скопируйте свой CA в каталог /usr/local/share/ca-certificates/

затем обновите CA store

Вот и все. Вы должны получить этот вывод:

Файл не требуется редактировать. Ссылка на ваш ЦС создается автоматически.

Обратите внимание, что имена файлов сертификатов должны заканчиваться, в .crt противном случае update-ca-certificates сценарий их не зафиксирует.

Эта процедура работает и в более новых версиях: руководства .

Кажется, что это не сработает в верном времени 14.04 Обратите внимание, что, в отличие от добавления в / usr / share / ca-сертификаты, это работает только в том случае, если они находятся непосредственно в / usr / local / share / ca-сертификаты, а не в подкаталоге. +1 за использование локальной папки вместо системной папки!

Я проверил это на Ubuntu 14.04.

Вот мое решение, я долго искал и пытался понять, как заставить это работать.

1. Извлеките .cer из браузера. Я использовал IE 11.
   • Настройки -> Свойства обозревателя -> Промежуточные центры сертификации
   • Выберите центр сертификации, который вы хотите экспортировать ( certutil -config - -ping покажет вам те, которые вы используете, если вы находитесь за корпоративным прокси)
   • Экспорт -> Выберите формат, который вы хотите использовать: DER Encoded .cer
2. Получить файлы .cer в Ubuntu как-то
3. Конвертировать в .crt openssl x509 -inform DER -in certificate.cer -out certificate.crt
4. Сделать дополнительный каталог sudo mkdir /usr/share/ca-certificates/extra
5. Копировать сертификаты sudo cp certificate.crt /usr/share/ca-certificates/extra/certificate.crt
6. sudo update-ca-certificates
7. Если нет, то вы должны сделать то, что я сделал, перейти к sudo nano /etc/ca-certificates.conf
8. Прокрутите вниз и найдите свой файл .cer и удалите ! из перед именем файла (документ update-ca-сертификаты) - если вы не обнаружили, что ваш сертификат запущен dpkg-reconfigure ca-certificates
9. Бегать sudo update-ca-certificates
10. Возможно, вам придется по отдельности доверять ЦС от Firefox, Chrome и т. Д., Мне нужно было работать с Docker, чтобы после этих шагов он работал с Docker.

Другие ответы не помогли мне с Ubuntu 18.04. Добавьте сертификат сертификата к /etc/ssl/certs/ca-certificates.crt следующей команде:

2 часа возиться с командами импорта, прежде чем я нашел это. Отлично! Команда не так, окончательный s отсутствует: cat YOUR_CERT_HERE.crt >> /etc/ssl/certs/ca-certificates.crt . Спасибо за это решение. Примечание. Это временное решение, так как добавленный сертификат будет удален после запуска update-ca-certificates .

Держите сертификат (root / CA) на веб-сервере, локальном для вашей сети, если хотите.

• Перейдите к нему с помощью Firefox.
• Откройте сертификат и скажите Firefox, чтобы добавить его в качестве исключения.
• Firefox спросит вас, хотите ли вы доверять этому сертификату для идентификации веб-сайтов, для пользователей электронной почты или для издателей программного обеспечения.
• Наслаждайтесь!

Обновление: необходимо проверить, работает ли это на Ubuntu 11. Я понял, что только что сделал это на Ubuntu 12.04 LTS.

не имеет Firefox свой собственный контейнер сертификатов? Если бы кто-то добавил сертификат таким способом, его мог бы использовать только Firefox, не так ли? Это не работает вообще, вы все равно должны добавить его в глобальный контейнер сертификации ОС, иначе он будет только в контейнере Firefox.

Вы можете установить файл ключа example.key и файл сертификата example.crt или файл сертификата, выданный центром сертификации, выполнив в командной строке терминала следующие команды:

Надо было прочитать поближе . Похоже, что это не для корневых сертификатов. На той странице, на которую я ссылался, есть информация о корневых сертификатах, которая может оказаться полезной. У меня нет открытого ключа и закрытого ключа, у меня просто есть .crt, поэтому, к сожалению, эти инструкции не применяются.

Добавить сертификат Root CA в FireFox сейчас очень просто. Просто откройте настройки, перейдите в «Конфиденциальность и безопасность», прокрутите вниз до «Сертификаты» и нажмите «Просмотреть сертификаты . ». Здесь вы можете нажать «Импортировать сертификат». Укажите ваш корневой CA (.pem) и ОК. Это все, ребята.

Вот простые шаги:

Установите сертификаты CA, чтобы приложения на основе SSL могли проверять подлинность соединений SSL:

Скопируйте файл сертификата ( crt или .cer ) в /usr/local/share/ca-certificates/ папку, например:

Опционально, если вы используете прокси Charles, эта команда может работать:

Команда обновит /etc/ssl/certs каталог для хранения сертификатов SSL и создаст ca-certificates.crt файл (составной список сертификатов с одним файлом).

Примечание. Не добавляйте сертификаты вручную (как предлагается здесь ), поскольку они не являются постоянными и будут удалены.

Примечание: если вы работаете как root , вы можете отказаться sudo от вышеуказанных команд.

Разъяснение между update-ca-certificates и dpkg-reconfigure ca-certificates и почему один работает , а другой нет !!

update-ca-certificates или sudo update-ca-certificates будет работать только если /etc/ca-certificates.conf был обновлен.

/etc/ca-certificate.conf обновляется только после запуска, dpkg-reconfigure ca-certificates который обновляет имена сертификатов для импорта в /etc/ca-certificates.conf

Это указано в заголовке /etc/ca-certificates.conf файла:

Как вы можете видеть, формат , в /etc/ca-certificates.conf это <folder name>/<.crt name>

Таким образом, чтобы использовать update-ca-certificates или sudo update-ca-certificates вы можете сделать следующее для импорта .crt:

Создайте каталог для дополнительных сертификатов CA в / usr / share / ca-сертификаты:

sudo mkdir /usr/share/ca-certificates/extra

Скопируйте файл .crt в этот каталог:

sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt

Добавить строку к /etc/ca-certificates.conf использованию <folder name>/<.crt name> :

echo "extra/foo.crt" >> /etc/ca-certificate.conf

Обновлять сертификаты не в интерактивном режиме с помощью sudo update-ca-Certificates

Одной из наиболее распространенных форм криптографии сегодня является криптография на открытых ключах. Криптография на открытых ключах использует открытый (public) и закрытый (secret) ключи. Система выполняет шифрование с использованием открытого ключа. Расшифрована такая информация может быть только с использованием закрытого ключа.

Сертификат - это метод, используемый для распространения открытого ключа и другой информации о сервере и организации, ответственной за него. Сертификаты могут иметь цифровую подпись, сделанную Центром сертификации или CA. CA - это третья сторона, которая подтверждает, что информация, содержащаяся в сертификате, верна.

Типы сертификатов

Для установки безопасного сервера с использованием криптографии на открытых ключах в большинстве случаев вы посылаете свой запрос на сертификат (включающий ваш открытый ключ), подтверждение идентичности вашей компании и оплату центру сертификации. Центр проверяет запрос на сертификат и вашу идентичность, и затем отсылает в ответ сертификат для вашего сервера. В качестве альтернативы вы можете использовать самоподписанный сертификат.

Обратите внимание, что самоподписанный сертификат не может быть использованным в большинстве производственных сред.

Браузеры (обычно) автоматически распознают такой сертификат и позволяют устанавливать защищенные соединения без предупреждения пользователя.

Когда CA выпускает подписанный сертификат, он гарантирует идентичность организации, которая предоставляет интернет страницы браузеру.

Процесс получения сертификата из CA довольно прост. Короткий обзор его приведен ниже:

Создайте пару из открытого и закрытого ключей.

Создайте запрос на сертификат на основе открытого ключа. Запрос на сертификат содержит информацию о вашем сервере и управляющей им компании.

Пошлите запрос на сертификат вместе с документами, подтверждающими вашу идентичность, в CA. Мы не можем сказать вам какой центр сертификации выбрать. Ваше решение может основываться на вашем прошлом опыте, опыте ваших друзей и коллег или исключительно на факторе цены. Как только вы определитесь с CA, вам надо следовать их инструкциям по тому, как получить у них сертификат.

Когда центр убедится, что вы действительно тот, за кого себя выдаете, они отправят вам цифровой сертификат.

Установите это сертификат на ваш защищенный сервер и настройте соответствующие приложения на его использование.

Создание запроса на подпись сертификата (CSR)

Вне зависимости от того получаете ли вы сертификат от CA или создаете самоподписаный, первым шагом будет создание ключа.

Если сертификат будет использоваться системными сервисами такими, как Apache, Postfix, Dovecot и т.п., уместно создать ключ без пароля. Отсутствие пароля позволяет сервису стартовать с минимальным ручным вмешательством, обычно это предпочтительный вариант запуска сервиса.

В этой секции показано как создать ключ с кодовым словом (паролем) и без него. Беспарольный ключ затем будет использован для создания сертификата, который можно использовать для различных системных сервисов.

Запуск вашего защищенного сервиса без кодовой фразы удобен потому, что вам не потребуется вводить ее при каждом старте данного сервиса. Однако это небезопасно и компрометация ключа будет означать и компрометацию сервера.

Для генерации ключей CSR запроса, запустите следующую команду из терминала:

Теперь вы можете ввести вашу кодовую фразу. Для лучшей безопасности рекомендуется использовать не менее восьми символов. Минимальная длина при использовании -des3 - 4 символа. Фраза должна включать цифры и/или знаки препинания и не должно быть словом из словаря. Также не забывайте, что ваша фраза будет чувствительна к регистру.

Повторите ввод для проверки. В случае корректного ввода ключ сервера будет создан и записан в файл server.key.

Теперь создадим небезопасный ключ, без кодовой фразы и поменяем имена ключей:

Небезопасный ключ теперь называется server.key и вы можете использовать его для создания CSR без кодовой фразы.

Для создания CSR выполните следующую команду в терминале:

У вас будет запрошена кодовая фраза (при использовании ключа с паролем - прим. пер.). Если введена корректная фраза, у вас запросят название компании, имя сайта, email и пр. Как только вы введете все эти подробности, будет создан запрос CSR и сохранен в файл server.csr.

Создание самоподписанного сертификата

Для создания самоподписанного сертификата, запустите следующую команду в терминале:

Эта команда попросит вас ввести кодовую фразу. Как только вы введете корректную фразу, ваш сертификат будет создан и сохранен в файл server.crt.

Если ваш защищенный сервер будет использован в производстве, вам, возможно, потребуется сертификат, подписанный центром сертификации. В этом случае использование самоподписанных сертификатов не рекомендуется.

Установка сертификата

Вы можете установить файлы ключа server.key и сертификата server.crt (или файл сертификата, выданный вашим CA), запуском следующих команд в терминале:

Центр сертификации

Если сервисы вашей сети требуют больше чем самозаверенные сертификаты, может быть полезным дополнительное усилие по установке вашего собственного внутреннего центра сертификации (CA). Использование сертификатов, подписанных вашим центром, позволяют различным сервисам использовать сертификаты для простого доверия другим сервисам, использующих сертификаты, выданные тем же CA.

1. Сначала создайте каталоги для хранения сертификата CA и необходимых файлов:

2. Центр сертификации требует несколько дополнительных файлов для своей работы; один для хранения последнего серийного номера, использованного CA, другой для записи какие сертификаты были выпущены:

3. Третий файл - это файл настроек CA. Хотя он не строго обязателен, но очень удобен для выпуска множества сертификатов. Отредактируйте /etc/ssl/openssl.cnf, изменив секцию [ CA_default ]:

4. Далее создайте самоподписанный сертификат:

Вам будут заданы вопросы по деталям сертификата.

5. Теперь установим корневой сертификат и ключ:

6. Теперь вы готовы приступить к выпуску сертификатов. Первое, что вам потребуется - запрос на сертификат (CSR). Смотрите детали в разделе Создание запроса на подпись сертификата (CSR). Получив CSR, введите следующую команду для создания сертификата, подписанного нашим центром:

После ввода пароля для ключа CA у вас запросят подтверждение на подпись сертификата и еще одно на сохранение нового сертификата. Затем вы сможете увидеть нечто с объемным выводом, относящееся к созданию сертификата.

Последующие сертификаты будут иметь имена 02.pem, 03.pem и т.д.

8. Наконец, скопируйте новый сертификат на компьютер, для которого он выпущен, и настройте соответствующие приложения на его использование. Место по умолчанию для установки сертификатов - каталог /etc/ssl/certs. Это позволяет многим сервисам использовать один и тот же сертификат без чрезмерного усложнения прав доступа к файлу.

Для приложений, которые могут быть настроены на использование сертификата CA, вы можете скопировать файл /etc/ssl/certs/cacert.pem в каталог /etc/ssl/certs/ на каждом сервере.

Ссылки

Для дополнительной информации по OpenSSL смотрите домашнюю страницу OpenSSL.

Как добавить корневой сертификат в доверенные в Linux на уровне системы

Сертификат с расширением .crt можно открыть двойным кликом и просмотреть его содержимое:

Если вы работаете в системе от обычного пользователя (не root), то кнопка «Импортировать» будет недоступна.

Чтобы разблокировать кнопку «Импортировать», выполните следующую команду:

Данный способ может не сработать, поэтому рассмотрим, как добавить доверенные корневые центры сертификации в командной строке.

Суть метода очень проста:

1. Добавить свой корневой CA сертификат в папку, предназначенную для таких сертификатов.
2. Запустить программу для обновления общесистемного списка сертификатов.

Пути и команды в разных дистрибутивах Linux чуть различаются.

Просмотреть Subject всех корневых CA сертификатов можно уже знакомой командой:

Для демонстрации я добавлю сертификат с Common Name, включающим «HackWare», тогда для проверки, имеется ли сертификат с таким именем среди корневых CA, я могу использовать команду:

Для добавления своего корневого CA в доверенные в Debian, Kali Linux, Linux Mint, Ubuntu и их производных:

1. Проверьте, существует ли директория /usr/local/share/ca-certificates:

Если её ещё нет, то создайте:

Сертификат должен быть в формате PEM (обычно так и есть) и иметь расширение .crt — если расширение вашего сертификата .pem, то достаточно просто поменять на .crt.

2. Скопируйте ваш сертификат командой вида:

3. Запустите следующую команду для обновления общесистемного списка:

Проверим наличие нашего CA сертификата среди доверенных:

Сертификат успешно найден:

Чтобы его удалить:

Для добавления своего корневого CA в доверенные в Arch Linux, BlackArch и их производных:

1. Выполните команду вида:

2. Обновите общесистемный список доверенных CA:

Чтобы удалить этот сертификат:

Добавление сертификатов в базу данных NSS

Некоторые приложения используют базу данных NSS, и у вас может быть необходимость добавить доверенные CA в неё.

Последующие изменения повлияют только на приложения, использующие базу данных NSS и учитывающие файл /etc/pki/nssdb.

1. Сначала создайте структуру каталогов для системных файлов базы данных NSS:

Затем создайте новый набор файлов базы данных. Пароль нужен для того, чтобы базу данных могли редактировать только люди, которые его знают. Если все пользователи в системе (и с доступом к резервным копиям) заслуживают доверия, этот пароль можно оставить пустым.

2. Убедитесь, что файлы базы данных доступны для чтения всем:

Примечание: вышеприведённые инструкции применимы только в том случае, если пока не существует общесистемного набора файлов базы данных NSS. Если он уже существует, то важно знать пароль для этого набора баз данных (конечно, если он защищён паролем).

3. Теперь, когда доступны файлы базы данных NSS, добавьте сертификат в хранилище следующим образом:

Биты доверия, используемые в приведённом выше примере, помечают сертификат как надёжный для подписи сертификатов, используемых для связи SSL/TLS. Имя (указывается после опции -n), используемое в команде, можно выбрать любое, но убедитесь, что его легко отличить от других сертификатов в магазине.

Аналогичные инструкции можно использовать для включения сертификата только в базу данных NSS конкретного пользователя:

Удаление из файлов базы данных NSS

Чтобы удалить сертификат из любой базы данных NSS, используйте команду certutil следующим образом. В этом примере используется общесистемное расположение базы данных NSS, но его можно легко изменить на пользовательское

Как добавить корневой сертификат в доверенные в Linux в веб браузеры

Chrome, Chromium, Firefox и созданные на их основе веб браузеры доверяют корневым сертификатам, установленным на уровне системы. То есть вам достаточно добавить в доверенные CA сертификат как это показано в предыдущем разделе.

Причём эти браузеры хотя и используют NSS, они игнорируют общесистемные сертификаты NSS, которые можно добавить в файл /etc/pki/nssdb!

Тем не менее приложения, которые используют NSS (такие как Firefox, Thunderbird, Chromium, Chrome) хранят свои списки доверенных сертификатов в файлах cert9.db. Чтобы добавить свой сертификат в каждый из этих файлов можно использовать скрипт.

Сохранить следующий код в файл CAtoCert9.sh:

В этом файле измените значение certfile на имя файла вашего сертификата и значение certname на имя вашего сертификата, сохраните и закройте файл.

Затем запустите его следующим образом:

В результате в домашней папке пользователя будут найдены все файлы cert9.db и в каждый из них будет добавлен указанный CA сертификат.

Вы можете добавить CA сертификаты в графическом интерфейсе каждого браузера.

• В настройках Chrome: Конфиденциальность и безопасность → Безопасность → Настроить сертификаты → Центры сертификации
• В настройках Chromium: Конфиденциальность и безопасность (выбрать «Ещё») → Настроить сертификаты → Центры сертификации

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

• В настройках Firefox: Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».

Читайте также:

  
• Asus переход на windows
  
• Не работает поиск windows 10
  
• Андроид это линукс или нет
  
• Как запустить сервер сценариев windows script host
  
• Образ задачи поврежден или изменен windows 7 как исправить