¿Cómo se instala un certificado de CA personalizado en CentOS?

17

Estoy tratando de instalar un certificado para mi servidor de certificados interno en una serie de sistemas CentOS, y encuentro que la documentación sobre esto es casi inexistente.

Mi objetivo final es ser capaz de utilizar git, curly otros en contra de los servidores seguros internos y sin errores.

En Ubuntu es bastante simple, arroja el certificado en una carpeta y ejecuta un comando para generar una serie de enlaces para agregar el certificado de CA a la ruta de certificación.

Por mi vida no puedo averiguar cómo hacer esto en CentOS ... hay mucha información disponible sobre la confianza de certificados aleatorios. (A saber: crear un enlace simbólico en /etc/pki/tls/certsel archivo de certificado codificado PEM, nombrado con el hash del certificado. No funcionó para mi CA, ya que las aplicaciones mencionadas aún no pueden verificar un certificado firmado por la CA).

¿Cómo se instala una nueva CA raíz en un sistema CentOS?

centos  ssl-certificate 
Mikey TK
fuente

Respuestas:

17

A partir de CentOS 6+, hay una herramienta para esto. Según esta guía , los certificados se pueden instalar primero habilitando el sistema de almacenamiento compartido de CA:

update-ca-trust enable

Luego, coloque los certificados para confiar como CA's /etc/pki/ca-trust/source/anchors/para alta prioridad (no reemplazable) o /usr/share/pki/ca-trust-source/(prioridad más baja, reemplazable), y finalmente actualice el almacén del sistema con:

update-ca-trust extract

¡Y listo, las herramientas del sistema ahora confiarán en esos certificados al hacer conexiones seguras!

Mikey TK
fuente
66
Te felicito por volver tres años después con una solución. Muchas gracias.
Duncan X Simpson
1

Desafortunadamente, no creo que haya una sola forma centralizada de hacer esto en CentOS. He pasado mucho tiempo tratando de lograr lo mismo. La principal tienda de certificados pki tls se usa mucho, pero definitivamente no todo.

Mi solución ha sido mantener un módulo títere que empuje un almacén de certificados actualizado a cada ubicación utilizada por producto. La lógica básica es que si existe una tienda determinada, agregue mi entrada personalizada.

Esto no es perfecto: algunas instancias de tomcat que implemento tienen una instalación interna de Java con un directorio de cacerts no estándar para eso, pero maneja la mayoría de mis necesidades.

Tim Brigham
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.