내부 네트워크 example.com에 대한 사용자 지정 루트 인증 기관을 만들었습니다. 이상적으로는이 인증 기관과 관련된 CA 인증서를 Linux 클라이언트 (Ubuntu 9.04 및 CentOS 5.3 실행)에 배포하여 모든 응용 프로그램이 자동으로 인증 기관을 인식하도록하고 싶습니다 (예 : 이 인증 기관을 신뢰하도록 Firefox, Thunderbird 등을 수동으로 구성합니다.
PEM으로 인코딩 된 CA 인증서를 / etc / ssl / certs / 및 / usr / share / ca-certificates /에 복사하고 /etc/ca-certificates.conf를 수정하고 업데이트를 다시 실행하여 우분투에서 이것을 시도했습니다. ca 인증서, 그러나 응용 프로그램이 시스템에 다른 신뢰할 수있는 CA를 추가했음을 인식하지 못하는 것 같습니다.
따라서 시스템에 CA 인증서를 한 번 추가 할 수 있습니까? 아니면 내 네트워크에서이 CA가 서명 한 호스트에 SSL 연결을 시도 할 수있는 모든 응용 프로그램에 CA를 수동으로 추가해야합니까? 시스템에 CA 인증서를 한 번 추가 할 수 있다면 어디로 가야합니까?
감사.
답변
한마디로 : 모든 응용 프로그램을 자체적으로 업데이트해야합니다
Firefox와 Thunderbird도 인증서를 공유하지 않습니다.
불행히도 Linux는 SSL 인증서를 저장 / 관리 할 수있는 중앙 위치가 없습니다. Windows에는 그러한 장소가 있지만 결국 동일한 문제가 발생합니다 (Firefox / Thunderbird는 Windows 제공 API를 사용하여 SSL 인증서의 유효성을 판단하지 않습니다)
각 호스트에서 꼭두각시 / cfengine과 같은 도구를 사용하여 해당 도구가 제공하는 메커니즘을 사용하여 모든 클라이언트에 필요한 루트 인증서를 배치했습니다.
답변
슬프게도 파이어 폭스와 썬더 버드와 같은 프로그램은 자체 데이터베이스를 사용합니다.
그러나 스크립트를 작성하여 모든 프로파일을 찾은 다음 인증서를 추가 할 수 있습니다. 인증서를 추가하는 도구는 다음과 같습니다. http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html
또한 기본 cert8.db 파일을 설정할 수 있으므로 새 프로파일에서도 파일을 얻을 수 있습니다.
다른 응용 프로그램의 경우 중앙 저장소를 지원하는지 여부에 대한 문제입니다.
답변
지정한 방법으로 중앙 /etc/ssl/certs/ca-certificates.crt가 업데이트됩니다. 그러나 대부분의 응용 프로그램은이 파일을 사용하도록 구성되어 있지 않습니다. 대부분의 응용 프로그램은 중앙 파일을 가리 키도록 구성 할 수 있습니다. 이 파일을 재구성하지 않고 모든 파일을 자동으로 사용하는 방법은 없습니다.
이 파일을 기본적으로 사용하기 위해 Ubuntu / Debian에서 버그를 신고하는 것이 좋습니다.