Как добавить файл центра сертификации в CentOS 7

Я пытаюсь добавить имя файла центра сертификации (CA) - ca.crt в /etc/ssl/certs, для этого я следовал этой статье.

Я скопировал свой файл ca.crt в /etc/pki/ca-trust/source/anchors/ и запустил команду ниже;

update-ca-trust extract

После этого я проверил файл /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt, но не нашел свой CA.

Я не могу понять, в чем может быть проблема.

Что я делаю не так и как я могу это исправить?

Ответы

Ответ 1

скопируйте свои сертификаты внутри

/etc/pki/ca-trust/source/anchors/

затем выполните следующую команду

update-ca-trust

Ответ 2

найдите файл *.pem и поместите его в подкаталог anchors или просто свяжите туда файл *.pem.

yum install -y ca-certificates
update-ca-trust force-enable
sudo ln -s /etc/ssl/your-cert.pem /etc/pki/ca-trust/source/anchors/your-cert.pem
update-ca-trust

Ответ 3

Ваш файл CA должен быть в двоичном формате X.509 вместо кодировки Base64; это должен быть обычный DER или PEM, чтобы успешно добавить его в список доверенных CA на вашем сервере.

Чтобы продолжить, поместите файл CA в каталог /usr/share/pki/ca-trust-source/anchors/, а затем запустите приведенную ниже командную строку (вам могут потребоваться привилегии sudo в зависимости от ваших настроек);

# CentOS 7, Red Hat 7, Oracle Linux 7
update-ca-trust

Обратите внимание, что все параметры доверия, доступные в /usr/share/pki/ca-trust-source/anchors/, интерпретируются с более низким приоритетом по сравнению с параметрами, расположенными в /etc/pki/ca-trust/source/anchors/ каталог, который может быть в расширенном формате файла BEGIN TRUSTED.

Для систем Ubuntu и Debian предпочтительным каталогом для этой цели является /usr/local/share/ca-certificates/.

Таким образом, вам нужно поместить ваш файл CA в каталог /usr/local/share/ca-certificates/, а затем обновить доверенные CA, запустив, с необходимыми привилегиями sudo, командную строку ниже;

update-ca-certificates

Ответ 4

БЫСТРАЯ ПОМОЩЬ 1: Чтобы добавить сертификат в простых форматах файлов PEM или DER к списку доверенных центров сертификации в системе:

  • добавьте его как новый файл в каталог /etc/pki/ca-trust/source/anchors/

  • запустить обновление update-ca-trust

БЫСТРАЯ ПОМОЩЬ 2: Если ваш сертификат имеет расширенный формат файла BEGIN TRUSTED (который может содержать флаги доверия недоверия/черного списка или флаги доверия для использования, отличного от TLS), то:

  • добавьте его как новый файл в каталог /etc/pki/ca-trust/source/
  • запустить обновление update-ca-trust

Более подробную информацию см. man update-ca-trust

Ответ 5

В CentOS7 генерирующий CA должен находиться в /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem

Таким образом, вы можете создать символическую ссылку, как /etc/pki/tls/certs ниже в /etc/pki/tls/certs

ca-bundle.crt ->/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem ca-bundle.trust.crt ->/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt

ПРИМЕЧАНИЕ. Библиотека ca-certificates должна создать символическую ссылку для вас. Тем не менее, я должен переустановить или вручную создать символические ссылки самостоятельно после запуска update-ca-trust и update-ca-trust enable. Если кто-нибудь знает, почему, пожалуйста, дайте мне знать :)