Wie installiere ich ein Stammzertifikat?

Wie installiere ich ein Stammzertifikat?

Kann mir jemand ein gutes Tutorial zur Installation eines Root-Zertifikats unter Ubuntu empfehlen?

Mir wurde eine .crtDatei zur Verfügung gestellt. Ich nehme an, dass ich ein Verzeichnis erstellen /usr/share/ca-certificates/newdomain.orgund die Datei .crt in diesem Verzeichnis ablegen muss. Darüber hinaus bin ich mir nicht sicher, wie ich weiter vorgehen soll.

Antwort1

Befolgen Sie diese Schritte, um eine CA-Zertifikatdatei foo.crtunter Ubuntu zu installieren:

  1. Erstellen Sie ein Verzeichnis für zusätzliche CA-Zertifikate in /usr/local/share/ca-certificates:

    sudo mkdir /usr/local/share/ca-certificates/extra
    
  2. Kopieren Sie die CA- .crtDatei in dieses Verzeichnis:

    sudo cp foo.crt /usr/local/share/ca-certificates/extra/foo.crt
    
  3. Lassen Sie Ubuntu den .crtDateipfad relativ zu /usr/local/share/ca-certificateshinzufügen /etc/ca-certificates.conf:

    sudo dpkg-reconfigure ca-certificates
    

    Um dies nicht-interaktiv zu tun, führen Sie Folgendes aus:

    sudo update-ca-certificates
    

Im Falle einer .pemDatei auf Ubuntu muss diese zunächst in eine .crtDatei konvertiert werden:

openssl x509 -in foo.pem -inform PEM -out foo.crt

Oder eine .cerDatei kann in eine Datei konvertiert werden .crt:

openssl x509 -inform DER -in foo.cer -out foo.crt

Antwort2

Befolgen Sie diese Schritte, um die CA-Zertifikatsdatei „foo.crt“ unter Ubuntu zu installieren:

Kopieren Sie zunächst Ihre CA in das Verzeichnis/usr/local/share/ca-certificates/

sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt

Aktualisieren Sie anschließend den CA-Store

sudo update-ca-certificates

Das ist alles. Sie sollten diese Ausgabe erhalten:

Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:foo.pem
done.
done.

Es ist keine Datei zum Bearbeiten erforderlich. Der Link zu Ihrer Zertifizierungsstelle wird automatisch erstellt.

Bitte beachten Sie, dass die Zertifikatsdateinamen mit enden müssen .crt, da update-ca-certificatessie sonst vom Skript nicht erkannt werden.

Dieses Verfahren funktioniert auch in neueren Versionen:Anleitungen.

Antwort3

Klärung zwischen update-ca-certificatesund dpkg-reconfigure ca-certificatesund warum das eine funktioniert und das andere nicht!!

  • update-ca-certificatesodersudo update-ca-certificates wird nur funktionierenes /etc/ca-certificates.confwurde aktualisiert.

  • /etc/ca-certificate.conf wird nur aktualisiertSobald Sie es ausgeführt haben, dpkg-reconfigure ca-certificateswerden die Zertifikatsnamen aktualisiert, die importiert werden sollen /etc/ca-certificates.conf.

Dies ist im Header der /etc/ca-certificates.confDatei angegeben:

# This file lists certificates that you wish to use or to ignore to be
# installed in /etc/ssl/certs.
# update-ca-certificates(8) will update /etc/ssl/certs by reading this file.
#
# This is autogenerated by dpkg-reconfigure ca-certificates.  <=======
# Certificates should be installed under /usr/share/ca-certificates
# and files with extension '.crt' is recognized as available certs.
#
# line begins with # is comment.
# line begins with ! is certificate filename to be deselected.
#
mozilla/ACCVRAIZ1.crt
mozilla/AC_RAIZ_FNMT-RCM.crt
mozilla/Actalis_Authentication_Root_CA.crt
mozilla/AddTrust_External_Root.crt
...

Wie Sie sehen können, /etc/ca-certificates.confist das Format<folder name>/<.crt name>

Um update-ca-certificatesoder zu verwenden, sudo update-ca-certificateskönnen Sie Folgendes tun, um eine .crt-Datei zu importieren:

  1. Erstellen Sie ein Verzeichnis für zusätzliche CA-Zertifikate in /usr/share/ca-certificates:

     sudo mkdir /usr/share/ca-certificates/extra
    
  2. Kopieren Sie die .crt-Datei in dieses Verzeichnis:

     sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt
    
  3. /etc/ca-certificates.confFügen Sie mit folgendem Befehl eine Zeile hinzu <folder name>/<.crt name>:

     echo "extra/foo.crt" | sudo tee -a /etc/ca-certificates.conf
    
  4. Zertifikate aktualisierennicht interaktivmit sudo update-ca-certificates

     $ sudo update-ca-certificates
     ...
     Updating certificates in /etc/ssl/certs...
     1 added, 0 removed; done.
    

Antwort4

Andere Antworten haben bei mir mit Ubuntu 18.04 nicht funktioniert. Hängen Sie das Zertifikat cert mit /etc/ssl/certs/ca-certificates.crtdem folgenden Befehl an:

cat YOUR_CERT_HERE.crt >> /etc/ssl/certs/ca-certificates.crt 

verwandte Informationen