Question Comment installer un certificat racine?


Quelqu'un peut-il me diriger vers un bon tutoriel sur l'installation d'un certificat racine sur Ubuntu 10 ou 11?

J'ai été fourni avec un .crt fichier. Je suppose que vous devez créer un répertoire à /usr/share/ca-certificates/newdomain.org et place le .crt  dans ce répertoire. Au-delà de ça, je ne sais pas comment procéder.


178
2017-10-28 18:01


origine


Si quelqu'un atterrit ici avec un dossier au lieu d'un crt, ils sont la même chose (juste avec une extension différente). Vous devriez pouvoir suivre ces réponses et substituer simplement le nom du fichier. - Oli♦
Btw: pour un moyen pratique de obtenir des certificats CA à partir de la ligne de commande, regardez ici, sur serverfault. - Frank Nocke


Réponses:


Installation d'un certificat racine / CA

Étant donné un fichier de certificat CA foo.crt, suivez ces étapes pour l'installer sur Ubuntu:

  1. Créez un répertoire pour les certificats de CA supplémentaires dans /usr/share/ca-certificates:

    sudo mkdir /usr/share/ca-certificates/extra
    
  2. Copier le CA .crt fichier dans ce répertoire:

    sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt
    
  3. Laissez Ubuntu ajouter le .crt chemin du fichier par rapport à /usr/share/ca-certificates à /etc/ca-certificates.conf:

    sudo dpkg-reconfigure ca-certificates
    

En cas de .pem fichier sur Ubuntu, il doit d'abord être converti en .crt fichier:

openssl x509 -in foo.pem -inform PEM -out foo.crt

215
2018-01-12 12:37



Que diriez-vous d'utiliser /usr/local/share/ca-certificates (local!) au lieu d'utiliser un gestionnaire de paquets système géré directement? - gertvdijk
Peut-on ajouter l’étape suivante pour s’assurer que le cert est au format pem? openssl x509 -inform DER -outform PEM -in foo.crt -out foo.pem - steakunderscore
Notez que Firefox (et peut-être d'autres logiciels) n'utilise pas les certificats à l'échelle du système, mais possède son propre magasin de certificats: askubuntu.com/a/248326/79344. - Amir Ali Akbari
Notez que le fichier doit être au format PEM et avoir l'extension ".crt". - Anton
sudo dpkg-reconfigure ca-certificates Merci, l'autre sudo update-ca-certificates --fresh n'a pas travaillé le 16.10. - antivirtel


Compte tenu du fichier de certificat de l'autorité de certification «foo.crt», procédez comme suit pour l'installer sur Ubuntu:

Tout d'abord, copiez votre CA dans dir /usr/local/share/ca-certificates/

sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt

puis, mettez à jour le magasin CA

sudo update-ca-certificates

C'est tout. Vous devriez obtenir cette sortie:

Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:foo.pem
done.
done.

Aucun fichier n'est nécessaire pour éditer. Le lien vers votre autorité de certification est créé automatiquement.

Veuillez noter que les noms de fichiers du certificat doivent se terminer par .crt, sinon le update-ca-certificates le script ne les reprendra pas.

Cette procédure fonctionne également dans les nouvelles versions: manuels.


156
2017-11-15 17:44



cela ne semble pas fonctionner dans la confiance 14.04 - mcantsin
Veuillez noter que, contrairement à l'ajout de / usr / share / ca-certificates, cela ne semble fonctionner que s'il se trouve directement dans / usr / local / share / ca-certificates et non dans un sous-répertoire. +1 pour utiliser le dossier local au lieu du dossier système! - Toby J
Ceci est documenté dans LISEZMOI.Debian. - pevik
@ Sparky1, Cela devrait être la réponse acceptée. - Drew Chapin
@FranklinYu merci :) Debian a déménagé d'Alioth à Salsa, cela fonctionnerait aussi bien: salsa.debian.org/debian/ca-certificates/raw/master/debian/…mais sources.debian.org est mieux. - pevik


Installer une autorité de certification sur Ubuntu

Je l'ai testé sur Ubuntu 14.04.

Voici ma solution: j'ai cherché et essayé pendant longtemps d'essayer de trouver un moyen de faire en sorte que cela fonctionne.

  1. Extrayez le .cer du navigateur. J'ai utilisé IE 11.
    • Paramètres -> Options Internet -> Autorités de certification intermédiaires
    • Sélectionnez l'autorité de certification que vous souhaitez exporter (certutil -config - -ping vous montrera ceux que vous utilisez si vous êtes derrière un proxy d'entreprise
    • Exporter -> Sélectionnez le format que vous souhaitez utiliser: .cer encodé DER
  2. Obtenir les fichiers .cer à Ubuntu en quelque sorte
  3. Convertir en .crt openssl x509 -inform DER -in certificate.cer -out certificate.crt
  4. Faire un répertoire supplémentaire sudo mkdir /usr/share/ca-certificates/extra
  5. Copier les certificats sur sudo cp certificate.crt /usr/share/ca-certificates/extra/certificate.crt
  6. sudo update-ca-certificates
  7. Si non, alors vous devez faire ce que j'ai fait, aller à sudo nano /etc/ca-certificates.conf
  8. Faites défiler et trouvez votre .cer et retirez le ! devant le nom du fichier (doc-update-ca-certificates)
  9. Courir sudo update-ca-certificates
  10. Vous devrez peut-être faire confiance aux CA de Firefox, Chrome, etc., je devais le faire fonctionner avec Docker, donc après ces étapes, il a travaillé avec Docker.

4
2017-09-13 19:50



Est-ce que cela fonctionne en 16.04? - endolith
@endolith a travaillé pour moi en 16.04. - Shubham Aggarwal


Ayez le certificat (racine / CA) disponible sur un serveur Web, local si vous le souhaitez.

  • Naviguez avec Firefox.
  • Ouvrez le cert et dites à Firefox de l'ajouter en tant qu'exception.
  • Firefox vous demandera si vous souhaitez faire confiance à ce certificat pour identifier des sites Web, des utilisateurs de messagerie ou des éditeurs de logiciels.
  • Prendre plaisir!

Mettre à jour: Il faudra vérifier si cela fonctionne sur Ubuntu 11. Je me suis rendu compte que je viens de le faire sur Ubuntu 12.04 LTS.


2
2018-06-29 05:54



Firefox n'a-t-il pas son propre conteneur de certificats? Si on ajoutait un certificat de cette façon, seul Firefox pourrait l'utiliser, n'est-ce pas? - Aiyion.Prime
Cela ne fonctionne pas du tout, vous devez toujours l'ajouter au conteneur de certificats global du système d'exploitation, sinon ce sera uniquement dans le conteneur Firefox. - arc_lupus


De ici:

Installation du certificat

Vous pouvez installer le fichier de clés example.key et le fichier de certificat example.crt, ou le fichier de certificat émis par votre autorité de certification, en exécutant les commandes suivantes à l'invite du terminal:

sudo cp example.crt /etc/ssl/certs
sudo cp example.key /etc/ssl/private

Configurez simplement toutes les applications, avec la possibilité d'utiliser la cryptographie à clé publique, pour utiliser les fichiers de certificats et de clés. Par exemple, Apache peut fournir HTTPS, Dovecot peut fournir IMAPS et POP3S, etc.


1
2017-10-28 18:05



Doit avoir lu de plus près ... On dirait que ce n'est pas pour les certificats racine. La page à laquelle j'ai lié a cependant des informations sur les certificats racine qui pourraient être utiles. - jat255
Je n'ai pas de clé publique et de clé privée, j'ai juste un .crt, donc malheureusement, ces instructions ne semblent pas s'appliquer. - Sparky1


L'ajout d'un certificat CA racine dans FireFox est désormais très simple. Ouvrez simplement les préférences, allez dans "Confidentialité et sécurité", faites défiler jusqu'à "Certificats" et cliquez sur "Afficher les certificats ...". Ici, vous pouvez cliquer sur "Importer un certificat". Pointez sur votre autorité de certification racine (.pem) et sur OK. C'est tout.


0
2018-03-29 21:26