Sobre la base de la respuesta de dwmw2 , puede decirle a las aplicaciones que usan NSS para su administración de certificados que usen el almacén de confianza del sistema.
libnss3
de forma predeterminada se envía con un conjunto de certificados de CA raíz ( libnssckbi.so
) de solo lectura , por lo que la mayoría de las veces debe agregarlos manualmente al almacén de confianza del usuario local ubicado en $HOME/.pki/nssdb
. p11-kit
ofrece un reemplazo directo libnssckbi.so
que actúa como un adaptador para los certificados raíz instalados en todo el sistema /etc/ssl/certs
.
Editar:
Parece que hay más versiones de libnssckbi.so
ahí afuera que solo adentro libnss3
. El siguiente es un script para encontrarlos a todos, respaldarlos y reemplazarlos con enlaces a p11-kit
:
sudo apt-get update && sudo apt-get install -y p11-kit libnss3
find / -type f -name "libnssckbi.so" 2>/dev/null | while read line; do
sudo mv $line ${line}.bak
sudo ln -s /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so $line
done
Instrucciones originales:
Para hacer esto, instale p11-kit
y libnss3
(si aún no están instalados):
sudo apt-get update && sudo apt-get install -y p11-kit libnss3
Luego haga una copia de seguridad de la existente libnssckbi.so
proporcionada por libnss3
:
sudo mv /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so.bak
Finalmente, cree el enlace simbólico:
sudo ln -s /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
Para confirmar que funcionó, puede ejecutar ll /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
y debería mostrar el enlace:
lrwxrwxrwx 1 root root 49 Apr 9 20:28 /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so -> /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so
Ahora, si agrega un certificado a la tienda de CA usando update-ca-certificates
, esos certificados ahora estarán disponibles para aplicaciones que usan NSS ( libnss3
) como Chrome.