He creado una autoridad de certificación raíz personalizada para una red interna, ejemplo.com. Idealmente, me gustaría poder implementar el certificado de CA asociado con esta autoridad de certificación en mis clientes Linux (que ejecutan Ubuntu 9.04 y CentOS 5.3), de modo que todas las aplicaciones reconozcan automáticamente la autoridad de certificación (es decir, no quiero tener configurar Firefox, Thunderbird, etc. manualmente para confiar en esta autoridad de certificación).
Intenté esto en Ubuntu copiando el certificado de CA codificado con PEM en /etc/ssl/certs/ y /usr/share/ca-certificates/, así como modificando /etc/ca-certificates.conf y volviendo a ejecutar update- certificados ca, sin embargo las aplicaciones no parecen reconocer que he agregado otra CA confiable al sistema.
Por lo tanto, ¿es posible agregar un certificado de CA una vez a un sistema, o es necesario agregar manualmente la CA a todas las posibles aplicaciones que intentarán realizar conexiones SSL a hosts firmados por esta CA en mi red? Si es posible agregar un certificado de CA una vez al sistema, ¿adónde debe ir?
Gracias.
Respuesta1
En resumen: debe actualizar cada aplicación por sí misma
Ni siquiera Firefox y Thunderbird comparten certificados.
Desafortunadamente, Linux no tiene un lugar central para almacenar/administrar certificados SSL. Windows tiene ese lugar, pero al final terminas con el mismo problema (Firefox/Thunderbird no usará la API proporcionada por Windows para determinar la validez de un certificado SSL)
Usaría algo como Puppet/cfengine en cada uno de los hosts y colocaría los certificados raíz necesarios en todos los clientes con los mecanismos que proporcionan esas herramientas.
Respuesta2
Lamentablemente, programas como Firefox y Thunderbird utilizan su propia base de datos.
Sin embargo, puede escribir un script para encontrar todos los perfiles y luego agregar el certificado. Aquí está la herramienta para agregar el certificado: http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html
También puedes configurar un archivo cert8.db predeterminado, para que los nuevos perfiles también lo obtengan.
Para otras aplicaciones, es cuestión de si admiten el almacén central o no.
Respuesta3
El método que ha especificado actualizará el /etc/ssl/certs/ca-certificates.crt central. Sin embargo, encontrará que la mayoría de las aplicaciones no están configuradas para usar este archivo. La mayoría de las aplicaciones se pueden configurar para que apunten al archivo central. No existe una forma automática de hacer que todo utilice este archivo sin reconfigurarlo.
Puede que valga la pena corregir errores en Ubuntu/Debian para usar este archivo de forma predeterminada.
Respuesta4
Puede agregar sus CA PKI personalizadas en ubuntu y otras distribuciones: Aquí tiene el enlace, puede resultarle útil: Gestión de certificados de Linux