Aggiungi un'autorità di certificazione personalizzata a Ubuntu

Ho creato un'autorità di certificazione radice personalizzata per una rete interna, esempio.com. Idealmente, vorrei essere in grado di distribuire il certificato CA associato a questa autorità di certificazione ai miei client Linux (con Ubuntu 9.04 e CentOS 5.3), in modo tale che tutte le applicazioni riconoscano automaticamente l'autorità di certificazione (ovvero non voglio avere configurare manualmente Firefox, Thunderbird, ecc. per fidarsi di questa autorità di certificazione).

Ho provato a farlo su Ubuntu copiando il certificato CA con codifica PEM in / etc / ssl / certs / e / usr / share / ca-certificati /, nonché modificando /etc/ca-certificates.conf e rieseguendo update- certificati ca, tuttavia le applicazioni non sembrano riconoscere che ho aggiunto un'altra CA attendibile al sistema.

Pertanto, è possibile aggiungere un certificato CA una volta a un sistema o è necessario aggiungere manualmente la CA a tutte le possibili applicazioni che tenteranno di stabilire connessioni SSL agli host firmati da questa CA nella mia rete? Se è possibile aggiungere un certificato CA una volta al sistema, dove deve andare?

Grazie.

In breve: è necessario aggiornare ogni applicazione da sola

Nemmeno Firefox e Thunderbird condividono i certificati.

Sfortunatamente Linux non ha un posto centrale per archiviare / gestire i certificati SSL. Windows ha un posto simile ma alla fine si presenta lo stesso problema (Firefox / Thunderbird non utilizzerà l'API fornita da Windows per determinare la validità di un certificato SSL)

Vorrei scegliere qualcosa come puppet / cfengine su ciascuno degli host e posizionare i certificati di root necessari su tutti i client con i meccanismi forniti da questi strumenti.

Purtroppo programmi come Firefox e Thunderbird utilizzano il proprio database.

Tuttavia, è possibile scrivere uno script per trovare tutti i profili, quindi aggiungere il certificato. Ecco lo strumento per aggiungere il certificato: http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html

Inoltre puoi impostare un file cert8.db predefinito, così anche i nuovi profili lo riceveranno.

Per altre applicazioni è una questione se supportano il negozio centrale o meno.

Il metodo che hai specificato aggiornerà il file /etc/ssl/certs/ca-certificates.crt centralizzato. Tuttavia, troverai che la maggior parte delle applicazioni non sono configurate per utilizzare questo file. La maggior parte delle applicazioni può essere configurata per puntare al file centrale. Non esiste un modo automatico per fare in modo che tutto utilizzi questo file senza riconfigurarli.

Potrebbe valere la pena archiviare i bug in Ubuntu / Debian per usare questo file di default.

Puoi aggiungere le tue CA PKI personalizzate in Ubuntu e altre distro: qui hai il link, potresti trovare prezioso: Linux Cert Management