web-dev-qa-db-fra.com

Problèmes d'importation de votre propre certificat CA

J'ai donc créé ma propre petite autorité de certification pour mes propres besoins (au sein de mon réseau, etc.) et je sais que la configuration fonctionne (je peux importer directement la clé dans des applications et elles se connectent au serveur à l'aide de la clé fine).

Mais! Lorsque j'ai essayé d'importer le certificat de l'autorité de certification pour que toutes les applications puissent l'utiliser, elles ne le font pas (Firefox et Chrome).

J'ai

  • A placé le fichier cacert.pem dans/etc/ssl/certs et a exécuté update-ca-certificates et dpkg-reconfigure ca-certificates

  • Directement placé le certificat dans le fichier ca-certificats.crt (car il n'était pas placé là-dedans malgré les commandes précédentes)

Je suis perplexe.

Info:

Ubuntu Desktop, 12.04 x64

chat cacert.pem

-----BEGIN CERTIFICATE-----
MIIDCDCCAnG--snip--8guKJUzT
-----END CERTIFICATE-----

openssl x509 -in cacert.pem -noout -text

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1xxxxxxxxxxxxxxxxxx3 (0xXXXXXXXXXXXXXX9)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=AU, ST=Western Australia, L=xx, O=xx, OU=Webmasters, CN=haven/emailAddress=xx
        Validity
            Not Before: Dec  8 11:47:37 2012 GMT
            Not After : Dec  6 11:47:37 2022 GMT
        Subject: C=AU, ST=Western Australia, L=xx, O=xx, OU=Webmasters, CN=haven/emailAddress=xx
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (1024 bit)
                Modulus:
                    00:xx:5b
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier: 
                38:xx:95
            X509v3 Authority Key Identifier: 
                keyid:38:xx:95

            X509v3 Basic Constraints: 
                CA:TRUE
    Signature Algorithm: sha1WithRSAEncryption
         7b:xx:d3

Merci d'avance!

2
NRoach44

Essayez de placer vos certificats dans/usr/share/ca-certificates

Puis modifiez /etc/ca-certificates.conf pour inclure une référence à votre nouveau certificat.

Puis courir

update-ca-certificates

Mise à jour:

Alors fait un peu plus creuser sur cela. Il semble que Firefox ne respecte pas la base de données/etc/ssl/certs. Trouvé this - c'est assez ancien mais je crois que c'est toujours le cas.

Autant que je sache, chaque utilisateur a sa propre base de données cert contenue dans le fichier cert8.db de son répertoire de profil. Ceci peut être mis à jour directement avec firefox (est-ce une raison pour vouloir faire cette ligne de commande?) - mais évidemment, chaque utilisateur devra le faire. Alternativement, il existe un moyen de le faire en ligne de commande voir ici et ici . Vous pouvez créer un script pour parcourir chaque répertoire de profil d’utilisateur (yuk!). Cela ne semble pas être une "bonne" façon de faire cela pour tous les utilisateurs, pour autant que je sache.

2
Matt Caswell