Как добавить центр сертификации в centos7?
Я пытаюсь добавить имя файла центра сертификации (CA) - ca.crt в /etc/ssl/certs, для этого я следовал этой статье. Я скопировал мой файл ca.crt в /etc/pki/ca-trust/source/anchors/ и запустить команду $ update-ca-trust extract, После этого я проверил /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt файл, но я не нашел свой CA. \
Я не могу понять, в чем может быть проблема. Кто-нибудь знает?
2 ответа
Скопируйте свои сертификаты внутри
/etc/pki/ca-trust/source/anchors/
затем выполните следующую команду
update-ca-trust
Найдите файл *.pem и поместите его в подкаталог anchors или просто свяжите туда файл *.pem.
yum install -y ca-certificates
update-ca-trust force-enable
sudo ln -s /etc/ssl/your-cert.pem /etc/pki/ca-trust/source/anchors/your-cert.pem
update-ca-trust
Ваш файл CA должен быть в двоичном формате X.509 вместо кодировки Base64; он должен быть обычным DER или PEM, чтобы его можно было успешно добавить в список доверенных центров сертификации на вашем сервере.
Чтобы продолжить, поместите файл CA в /usr/share/pki/ca-trust-source/anchors/ каталог, затем запустите приведенную ниже командную строку (вам могут потребоваться привилегии sudo в зависимости от ваших настроек);
# CentOS 7, Red Hat 7, Oracle Linux 7
update-ca-trust
Обратите внимание, что все настройки доверия доступны в /usr/share/pki/ca-trust-source/anchors/ каталог интерпретируются с более низким приоритетом по сравнению с теми, которые находятся под /etc/pki/ca-trust/source/anchors/ каталог, который может быть в расширенном формате файла BEGIN TRUSTED.
Для систем Ubuntu и Debian, /usr/local/share/ca-certificates/ - предпочтительный каталог для этой цели.
Таким образом, вам необходимо поместить файл CA в /usr/local/share/ca-certificates/ каталог, а затем обновите доверенные центры сертификации, запустив при необходимости с привилегиями sudo следующую командную строку;
update-ca-certificates
БЫСТРАЯ ПОМОЩЬ 1. Чтобы добавить сертификат в простых форматах файлов PEM или DER в список центров сертификации, которым доверяет система:
добавьте его как новый файл в каталог /etc/pki/ca-trust/source/anchors/
запустить update-ca-trust extract
БЫСТРАЯ ПОМОЩЬ 2: Если ваш сертификат находится в расширенном формате файла BEGIN TRUSTED (который может содержать флаги доверия / недоверия / черного списка или флаги доверия для использования, отличного от TLS), тогда:
- добавьте его как новый файл в каталог / etc / pki / ca-trust / source /
- запустить update-ca-trust extract
Более подробную информацию см. man update-ca-trust
Возможно, опоздал на вечеринку, но в моем случае это был RHEL 6.8:
Копировать certificate.crt выдается хостингом на:
/etc/pki/ca-trust/source/anchors/
Потом:
update-ca-trust force-enable (ignore not found warnings)
update-ca-trust extract
Надеюсь, это поможет
Полная инструкция выглядит следующим образом:
- Извлечь закрытый ключ из PFX
openssl pkcs12 -in myfile.pfx -nocerts -out private-key.pem -nodes
- Выписка сертификата из PFX
openssl pkcs12 -in myfile.pfx -nokeys -out certificate.pem
- установить сертификат
yum install -y ca-certificates,
cp your-cert.pem /etc/pki/ca-trust/source/anchors/your-cert.pem,
update-ca-trust,
update-ca-trust force-enable
Надеюсь быть полезным
На CentOS7 генерируемый CA должен быть в /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
Таким образом, вы можете создать символическую ссылку, как показано ниже /etc/pki/tls/certs
ca-bundle.crt -> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
ca-bundle.trust.crt -> /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt
НОТА: ca-certificates Библиотека должна создать символическую ссылку для вас. Тем не менее, я должен переустановить или вручную создать символические ссылки самостоятельно после запуска update-ca-trust а также update-ca-trust enable, Если кто-нибудь знает почему, пожалуйста, дайте мне знать:)