J'ai donc créé ma propre petite autorité de certification pour mes propres besoins (au sein de mon réseau, etc.) et je sais que la configuration fonctionne (je peux importer directement la clé dans des applications et elles se connectent au serveur à l'aide de la clé fine).
Mais! Lorsque j'ai essayé d'importer le certificat de l'autorité de certification pour que toutes les applications puissent l'utiliser, elles ne le font pas (Firefox et Chrome).
J'ai
A placé le fichier cacert.pem dans/etc/ssl/certs et a exécuté update-ca-certificates et dpkg-reconfigure ca-certificates
Directement placé le certificat dans le fichier ca-certificats.crt (car il n'était pas placé là-dedans malgré les commandes précédentes)
Je suis perplexe.
Info:
Ubuntu Desktop, 12.04 x64
chat cacert.pem
-----BEGIN CERTIFICATE-----
MIIDCDCCAnG--snip--8guKJUzT
-----END CERTIFICATE-----
openssl x509 -in cacert.pem -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1xxxxxxxxxxxxxxxxxx3 (0xXXXXXXXXXXXXXX9)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=AU, ST=Western Australia, L=xx, O=xx, OU=Webmasters, CN=haven/emailAddress=xx
Validity
Not Before: Dec 8 11:47:37 2012 GMT
Not After : Dec 6 11:47:37 2022 GMT
Subject: C=AU, ST=Western Australia, L=xx, O=xx, OU=Webmasters, CN=haven/emailAddress=xx
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:xx:5b
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
38:xx:95
X509v3 Authority Key Identifier:
keyid:38:xx:95
X509v3 Basic Constraints:
CA:TRUE
Signature Algorithm: sha1WithRSAEncryption
7b:xx:d3
Merci d'avance!
Essayez de placer vos certificats dans/usr/share/ca-certificates
Puis modifiez /etc/ca-certificates.conf pour inclure une référence à votre nouveau certificat.
Puis courir
update-ca-certificates
Mise à jour:
Alors fait un peu plus creuser sur cela. Il semble que Firefox ne respecte pas la base de données/etc/ssl/certs. Trouvé this - c'est assez ancien mais je crois que c'est toujours le cas.
Autant que je sache, chaque utilisateur a sa propre base de données cert contenue dans le fichier cert8.db de son répertoire de profil. Ceci peut être mis à jour directement avec firefox (est-ce une raison pour vouloir faire cette ligne de commande?) - mais évidemment, chaque utilisateur devra le faire. Alternativement, il existe un moyen de le faire en ligne de commande voir ici et ici . Vous pouvez créer un script pour parcourir chaque répertoire de profil d’utilisateur (yuk!). Cela ne semble pas être une "bonne" façon de faire cela pour tous les utilisateurs, pour autant que je sache.