Sulla base della risposta di dwmw2 , puoi effettivamente dire alle applicazioni che usano NSS per la sua gestione dei certificati di usare l'archivio sicuro del sistema.
libnss3
per impostazione predefinita viene fornito con una serie di sola lettura di certificati CA radice ( libnssckbi.so
), quindi la maggior parte delle volte è necessario aggiungerli manualmente all'archivio di fiducia dell'utente locale in cui si trova $HOME/.pki/nssdb
. p11-kit
offre una sostituzione drop-in libnssckbi.so
che funge da adattatore per i certificati root a livello di sistema installati in /etc/ssl/certs
.
Modificare:
Sembra che ci siano più versioni di libnssckbi.so
là fuori che solo in libnss3
. Di seguito è riportato uno script per trovarli tutti, eseguirne il backup e sostituirli con collegamenti a p11-kit
:
sudo apt-get update && sudo apt-get install -y p11-kit libnss3
find / -type f -name "libnssckbi.so" 2>/dev/null | while read line; do
sudo mv $line ${line}.bak
sudo ln -s /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so $line
done
Istruzioni originali:
Per fare ciò, installare p11-kit
e libnss3
(se non sono già stati istillati):
sudo apt-get update && sudo apt-get install -y p11-kit libnss3
Quindi eseguire il backup dell'esistente libnssckbi.so
fornito da libnss3
:
sudo mv /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so.bak
Infine, crea il link simbolico:
sudo ln -s /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
Per confermare che ha funzionato, è possibile eseguire ll /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
e dovrebbe mostrare il collegamento:
lrwxrwxrwx 1 root root 49 Apr 9 20:28 /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so -> /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so
Ora, se si aggiunge un certificato all'archivio CA utilizzando update-ca-certificates
, tali certificati saranno ora disponibili per le applicazioni che utilizzano NSS ( libnss3
) come Chrome.