Distribuire la CA interna ai client Linux


8

Ho un gran numero di stazioni di lavoro che eseguono RedHat Enterprise Linux 5 e 6. Vorrei distribuire la nostra nuova CA interna (Active Directory) su queste macchine. Posso importare manualmente il certificato in Firefox 10 senza problemi, ma non riesco a trovare dove archiviare il file .cer sul filesystem in modo che venga utilizzato da FireFox e Google Chrome. Esiste una posizione centrale per le CA affidabili che viene utilizzata da entrambi questi browser?

Altrimenti mi accontenterei di un modo più automatizzato per far sì che FireFox accetti la mia CA.

Roba che ho provato

  • Usando il Mozilla fornito certutil- ma questo sembra occuparsi solo dei certificati lato client, a meno che non mi sbagli.
  • Modifica /etc/pki/tls/ca-bundle.crtinclusa nel ca-certificatespacchetto. Firefox non sembra onorare questo file.

Non l'ho mai usato da solo, ma Firefox viene fornito con uno strumento chiamato certutil( mozilla.org/projects/security/pki/nss/tools/certutil.html ). Penso che possa fare quello che ti serve, almeno per Firefox.
Kenny Rasschaert,

Da alcuni poke iniziali sembra che il DB NSS non contenga CA, ma piuttosto certificati lato client.
Kyle Smith

Risposte:


3

Per Firefox: FF memorizza il certificato nel profilo utente, è necessario importare il certificato per ciascun profilo in ciascuna casella. Per le CA affidabili, il certificato deve essere in formato PEM e importato utilizzando il certutilcomando (disponibile nel nss-toolspacchetto su RedHat):

È possibile utilizzare questo comando per elencare i certificati:

certutil -L -d ~/.mozilla/firefox/[profile]

Quindi, il certificato può essere importato utilizzando:

certutil -A -n 'Certificate Name' -t CT,, -d ~/.mozilla/firefox/[profile] < /path/to/certificate.pem

Vedi http://www.dzhang.com/blog/2011/01/29/importing-exporting-firefox-certificates-from-command-line per i dettagli.

Secondo il wiki del cromo puoi usare il certutil per il cromo. Non so se questo funzionerà anche con il cromo di serie.

Con un po 'di scripting dovrebbe essere possibile distribuire automaticamente l'autorità di certificazione AD in questo ambiente.


Grazie per questa risposta, sembra molto promettente. Non appena avrò dei momenti liberi, sarò felice di provare e darti un segno di spunta verde brillante!
Kyle Smith,

Grazie per avermi indicato nella giusta direzione. Sembra che i pk12utilcertificati in formato pkcs12 siano per l'autenticazione lato client, ma questo mi ha fatto iniziare a guardare certutilquale può modificare la fiducia della CA. Modificherò la risposta con qualche informazione in più, se sei curioso.
Kyle Smith,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.