
Criei uma autoridade de certificação raiz personalizada para uma rede interna, example.com. Idealmente, eu gostaria de poder implantar o certificado CA associado a esta autoridade de certificação em meus clientes Linux (executando Ubuntu 9.04 e CentOS 5.3), de modo que todos os aplicativos reconheçam automaticamente a autoridade de certificação (ou seja, eu não quero ter configurar manualmente o Firefox, Thunderbird, etc. para confiar nesta autoridade de certificação).
Eu tentei isso no Ubuntu copiando o certificado CA codificado em PEM para /etc/ssl/certs/ e /usr/share/ca-certificates/, bem como modificando /etc/ca-certificates.conf e executando novamente update- ca-certificates, no entanto, os aplicativos não parecem reconhecer que adicionei outra CA confiável ao sistema.
Portanto, é possível adicionar um certificado CA uma vez a um sistema ou é necessário adicionar manualmente a CA a todos os possíveis aplicativos que tentarão fazer conexões SSL com hosts assinados por esta CA na minha rede? Se for possível adicionar um certificado CA uma vez ao sistema, para onde ele precisa ir?
Obrigado.
Responder1
Resumindo: você precisa atualizar cada aplicativo sozinho
Nem mesmo o Firefox e o Thunderbird compartilham certificados.
Infelizmente, o Linux não possui um local central para armazenar/gerenciar certificados SSL. O Windows tem esse local, mas no final você acaba com o mesmo problema (o Firefox/Thunderbird não usa a API fornecida pelo Windows para determinar a validade de um certificado SSL)
Eu usaria algo como puppet/cfengine em cada um dos hosts e colocaria os certificados raiz necessários em todos os clientes com os mecanismos que essas ferramentas fornecem.
Responder2
Infelizmente, programas como Firefox e Thunderbird usam seu próprio banco de dados.
No entanto, você pode escrever um script para encontrar todos os perfis e adicionar o certificado. Aqui está a ferramenta para adicionar o certificado: http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html
Você também pode configurar um arquivo cert8.db padrão, para que novos perfis também o obtenham.
Para outras aplicações é uma questão de saber se suportam ou não o armazenamento central.
Responder3
O método que você especificou atualizará o /etc/ssl/certs/ca-certificates.crt central. No entanto, você descobrirá que a maioria dos aplicativos não está configurada para usar esse arquivo. A maioria dos aplicativos pode ser configurada para apontar para o arquivo central. Não existe uma maneira automática de fazer com que tudo use esse arquivo sem reconfigurá-los.
Pode valer a pena arquivar bugs no Ubuntu/Debian para usar este arquivo por padrão.
Responder4
Você pode adicionar suas CAs PKI personalizadas no Ubuntu e em outras distros: Aqui você tem o link, que pode ser valioso: Gerenciamento de certificados Linux