La semplice risposta a questa domanda è che praticamente ogni applicazione la gestirà in modo diverso.
Anche OpenSSL e GNUTLS (le librerie di elaborazione dei certificati più utilizzate per gestire i certificati firmati) si comportano diversamente nel trattamento dei certificati, il che complica anche la questione. Inoltre, i sistemi operativi utilizzano meccanismi diversi per utilizzare la "CA principale" utilizzata dalla maggior parte dei siti Web.
A parte questo, dando Debian come esempio. Installa il ca-certificates
pacchetto:
apt-get install ca-certificates
Copia quindi la metà pubblica del tuo certificato CA non attendibile (quello che usi per firmare il tuo CSR) nella directory del certificato CA (come root):
cp cacert.pem /usr/share/ca-certificates
E farlo per ricostruire la directory con il certificato incluso, eseguire come root:
dpkg-reconfigure ca-certificates
e selezionare l' ask
opzione, scorrere fino al certificato, contrassegnarlo per l'inclusione e selezionare ok.
La maggior parte dei browser usa il proprio database CA, quindi strumenti come certutil
devono essere usati per modificare il loro contenuto (su Debian fornito dal libnss3-tools
pacchetto). Ad esempio, con Chrome esegui qualcosa del tipo:
certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n "My Homemade CA" -i /path/to/CA/cert.file
Firefox ti consentirà di accedere al certificato su disco, riconoscerlo come un file certificato e quindi importarlo nell'elenco CA principale.
La maggior parte degli altri comandi, come le curl
opzioni della riga di comando Take, che è possibile utilizzare per puntare alla propria CA,
curl --cacert /path/to/CA/cert.file https://...
o eliminare completamente la convalida SSL
curl --insecure https://...
Il resto avrà bisogno di un'indagine individuale se il ca-certificates
trucco simile non lo ordina per quella particolare applicazione.