내부 네트워크인 example.com에 대한 사용자 지정 루트 인증 기관을 만들었습니다. 이상적으로는 이 인증 기관과 관련된 CA 인증서를 내 Linux 클라이언트(Ubuntu 9.04 및 CentOS 5.3 실행)에 배포하여 모든 애플리케이션이 자동으로 인증 기관을 인식할 수 있기를 원합니다. 이 인증 기관을 신뢰하도록 Firefox, Thunderbird 등을 수동으로 구성합니다.
PEM으로 인코딩된 CA 인증서를 /etc/ssl/certs/ 및 /usr/share/ca-certificates/에 복사하고 /etc/ca-certificates.conf를 수정하고 업데이트를 다시 실행하여 Ubuntu에서 이 작업을 시도했습니다. ca 인증서를 사용했지만 응용 프로그램은 시스템에 다른 신뢰할 수 있는 CA를 추가했음을 인식하지 못하는 것 같습니다.
따라서 CA 인증서를 시스템에 한 번 추가할 수 있습니까, 아니면 내 네트워크에서 이 CA가 서명한 호스트에 SSL 연결을 시도하는 모든 가능한 응용 프로그램에 CA를 수동으로 추가해야 합니까? CA 인증서를 시스템에 한 번 추가할 수 있다면 어디로 가야 합니까?
감사해요.
답변1
간단히 말해서: 모든 애플리케이션을 자체적으로 업데이트해야 합니다.
Firefox와 Thunderbird도 인증서를 공유하지 않습니다.
불행히도 Linux에는 SSL 인증서를 저장/관리할 수 있는 중앙 위치가 없습니다. Windows에는 그런 곳이 있지만 결국에는 같은 문제에 직면하게 됩니다(Firefox/Thunderbird는 SSL 인증서의 유효성을 확인하기 위해 Windows에서 제공하는 API를 사용하지 않습니다).
각 호스트에 puppet/cfengine과 같은 것을 사용하고 해당 도구가 제공하는 메커니즘을 사용하여 모든 클라이언트에 필요한 루트 인증서를 배치합니다.
답변2
안타깝게도 Firefox 및 Thunderbird와 같은 프로그램은 자체 데이터베이스를 사용합니다.
그러나 모든 프로필을 찾는 스크립트를 작성한 다음 인증서를 추가할 수 있습니다. 인증서를 추가하는 도구는 다음과 같습니다. http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html
또한 기본 cert8.db 파일을 설정할 수 있으므로 새 프로필에서도 해당 파일을 얻을 수 있습니다.
다른 애플리케이션의 경우 중앙 저장소를 지원하는지 여부가 문제입니다.
답변3
지정한 방법은 중앙 /etc/ssl/certs/ca-certificates.crt를 업데이트합니다. 그러나 대부분의 응용 프로그램은 이 파일을 사용하도록 구성되어 있지 않습니다. 대부분의 응용 프로그램은 중앙 파일을 가리키도록 구성할 수 있습니다. 재구성하지 않고 모든 항목에서 이 파일을 사용하도록 자동으로 설정할 수 있는 방법은 없습니다.
이 파일을 기본적으로 사용하려면 Ubuntu/Debian에서 버그를 제출하는 것이 좋습니다.
답변4
우분투 및 기타 배포판에 사용자 정의 PKI CA를 추가할 수 있습니다. 여기에 링크가 있으며 귀중한 정보를 찾을 수 있습니다. Linux 인증서 관리