Добавление самоподписанного сертификата в «доверенный список»

Я создал самозаверяющий сертификат для моего сервера сборки, и я хотел бы доверять всему миру сертификат на моей машине, так как я сам создал ключ, и я устал видеть предупреждения.

Я на Ubuntu 12.04. Как я могу взять сертификат и доверять ему в глобальном масштабе, чтобы браузеры (Google Chrome), утилиты CLI (wget, curl) и языки программирования (Python, Java и т. Д.) Доверяли подключению к https://mysite.com без запроса вопросов?

  • Может ли Debian 5 (Lenny) использовать SSL?
  • Как я могу обновить существующий .crt-файл с новым зашифрованным файлом rsa .key?
  • Как получить сертификат ssl сервера в удобочитаемой форме?
  • указать сертификат CA в Довекоте
  • Clamav configure: ошибка: в вашей установке OpenSSL отсутствует функция X509_VERIFY_PARAM
  • SSL (размещен на LB), который будет установлен на серверах Apache Downstream?
  • Как «получить» сайт HTTPS?
  • Невозможно локально проверить полномочия эмитента
  • 3 Solutions collect form web for “Добавление самоподписанного сертификата в «доверенный список»”

    Простой ответ на этот вопрос заключается в том, что почти каждое приложение будет обрабатывать его по-разному.

    Также OpenSSL и GNUTLS (наиболее широко используемые библиотеки обработки сертификатов, используемые для обработки подписанных сертификатов) ведут себя по-разному при обработке сертификатов, что также усложняет проблему. Кроме того, операционные системы используют различные механизмы для использования «корневого ЦС», используемого большинством веб-сайтов.

    Это в стороне, давая Debian в качестве примера. Установите пакет ca-certificates :

     apt-get install ca-certificates 

    Затем вы копируете открытую половину своего ненадежного сертификата ЦС (тот, который вы используете для подписания CSR) в каталог сертификата CA (от имени root):

     cp cacert.pem /usr/share/ca-certificates 

    И попросите его перестроить каталог с включенным сертификатом, запустите его как root:

     dpkg-reconfigure ca-certificates 

    и выберите опцию ask , прокрутите до своего сертификата, отметьте его для включения и выберите ok.

    Большинство браузеров используют свою собственную базу данных ЦС, поэтому инструменты, такие как certutil , должны использоваться для изменения их содержимого (в Debian, предоставляемом libnss3-tools ). Например, с Chrome вы запускаете что-то вроде строк:

     certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n "My Homemade CA" -i /path/to/CA/cert.file 

    Firefox позволит вам перейти к сертификату на диске, распознать его файл сертификата и затем разрешить импортировать его в список Root CA.

    Большинство других команд, таких как curl используют переключатели командной строки, которые вы можете использовать для указания вашего CA,

      curl --cacert /path/to/CA/cert.file https://... 

    или вообще отказаться от проверки SSL

      curl --insecure https://... 

    Остальным потребуется индивидуальное расследование, если ca-certificates подобные трюку, не сортируют его для этого конкретного приложения.

    Неинтерактивный подход

    Для использования в неинтерактивном контексте (например, рецепт шеф-повара) вы можете использовать следующую последовательность.

     sudo cp my.crt /usr/local/share/ca-certificates/ sudo update-ca-certificates 
    • Протестировано и работает на debian 5/6 и Ubuntu 14.04.
    • Для получения дополнительной информации см. man update-ca-certificates

    Этот метод предпочтительнее метода @ Drav, поскольку /usr/share/ обычно зарезервирован для файлов, добавленных OS / apt-get .

    В Fedora 23 добавьте файл .pem или .der в /etc/pki/ca-trust/source/anchors/ и запустите sudo update-ca-trust extract .

    Подробнее см. man update-ca-trust , например, использовать / etc или / usr.

    Interesting Posts

    Как эффективно использовать SVN CLI

    Как запустить зашифрованный захват веб-камеры при входе в систему?

    исправление существующего архива flar приводит к «неизменному файлу»,

    Сохранить кешированное видео на firefox?

    Что такое безопасный и переносимый способ разделить строку в программировании оболочки?

    Глядя на бревна снизу вверх

    Может ли MD справиться с списком badblock?

    разница команд в Solaris и оболочке linux

    Увеличьте объем на eMac P69, используя FreeBSD 10.3

    Разделение файла по размеру, но убедитесь, что оно заканчивается символом новой строки

    Pipe Viewer – следствие производительности монитора

    Сумма каждого столбца в файле должна быть гибкой для количества столбцов, которые находятся в файле

    Как «получить» сайт HTTPS?

    Ограничение общего размера vfs_recycle samba путем обрезания самых старых удаленных файлов

    Как включить ipv6 на устройстве loopback?

    Linux и Unix - лучшая ОС в мире.