Come si installa un certificato CA personalizzato su CentOS?

Sto cercando di installare un certificato per il mio server di certificazione interno su una serie di sistemi CentOS e trovo che la documentazione su questo sia quasi inesistente.

Il mio obiettivo finale è quello di essere in grado di utilizzare git, curle altri contro server sicuri interne senza errori.

Su Ubuntu è abbastanza semplice, si lancia il certificato in una cartella ed si esegue un comando per generare una serie di collegamenti per aggiungere il certificato CA al percorso di certificazione.

Non riesco per la mia vita a scoprire come farlo su CentOS .. Sono disponibili molte informazioni sulla fiducia dei certificati casuali. (Vale a dire: creare un collegamento simbolico /etc/pki/tls/certsal file cert codificato PEM, denominato con l'hash del certificato. Non ha funzionato per la mia CA, poiché le suddette app non possono ancora verificare un certificato firmato dalla CA).

Come si installa una nuova CA principale su un sistema CentOS?

A partire da CentOS 6+, esiste uno strumento per questo. Secondo questa guida , i certificati possono essere installati prima abilitando l'archivio CA condiviso del sistema:

update-ca-trust enable

Quindi posizionando i certificati come attendibili come CA /etc/pki/ca-trust/source/anchors/per priorità elevata (non sostituibile) o /usr/share/pki/ca-trust-source/(priorità inferiore, sostituibile) e infine aggiornando l'archivio di sistema con:

update-ca-trust extract

Et voila, gli strumenti di sistema ora si fideranno di quei certificati quando effettueranno connessioni sicure!

Sfortunatamente non penso che ci sia un solo modo centralizzato per farlo in CentOS. Ho trascorso molto tempo cercando di realizzare la stessa cosa. Il negozio principale di certificati pki tls è usato per molto ma sicuramente non tutto.

La mia soluzione è stata quella di mantenere un modulo fantoccio che spingerà un archivio certificati aggiornato in ogni posizione utilizzata per prodotto. La logica di base è se esiste un determinato negozio quindi aggiungere la mia voce personalizzata.

Questo non è perfetto: alcune istanze di Tomcat che distribuisco hanno un'installazione Java interna con una directory cacerts non standard per una, ma gestisce la maggior parte delle mie esigenze.