Distribuire la CA interna ai client Linux

Ho un gran numero di stazioni di lavoro che eseguono RedHat Enterprise Linux 5 e 6. Vorrei distribuire la nostra nuova CA interna (Active Directory) su queste macchine. Posso importare manualmente il certificato in Firefox 10 senza problemi, ma non riesco a trovare dove archiviare il file .cer sul filesystem in modo che venga utilizzato da FireFox e Google Chrome. Esiste una posizione centrale per le CA affidabili che viene utilizzata da entrambi questi browser?

Altrimenti mi accontenterei di un modo più automatizzato per far sì che FireFox accetti la mia CA.

Roba che ho provato

• Usando il Mozilla fornito certutil- ma questo sembra occuparsi solo dei certificati lato client, a meno che non mi sbagli.
• Modifica /etc/pki/tls/ca-bundle.crtinclusa nel ca-certificatespacchetto. Firefox non sembra onorare questo file.

Per Firefox: FF memorizza il certificato nel profilo utente, è necessario importare il certificato per ciascun profilo in ciascuna casella. Per le CA affidabili, il certificato deve essere in formato PEM e importato utilizzando il certutilcomando (disponibile nel nss-toolspacchetto su RedHat):

È possibile utilizzare questo comando per elencare i certificati:

certutil -L -d ~/.mozilla/firefox/[profile]

Quindi, il certificato può essere importato utilizzando:

certutil -A -n 'Certificate Name' -t CT,, -d ~/.mozilla/firefox/[profile] < /path/to/certificate.pem

Vedi http://www.dzhang.com/blog/2011/01/29/importing-exporting-firefox-certificates-from-command-line per i dettagli.

Secondo il wiki del cromo puoi usare il certutil per il cromo. Non so se questo funzionerà anche con il cromo di serie.

Con un po 'di scripting dovrebbe essere possibile distribuire automaticamente l'autorità di certificazione AD in questo ambiente.