Frage Wie installiere ich ein Stammzertifikat?


Kann mir jemand auf ein gutes Tutorial zur Installation eines Root-Zertifikats auf Ubuntu 10 oder 11 hinweisen?

Ich wurde mit einem .crt Datei. Ich nehme an, dass ich ein Verzeichnis erstellen muss /usr/share/ca-certificates/newdomain.org und stelle die .crt  in diesem Verzeichnis. Darüber hinaus bin ich mir nicht sicher, wie es weitergehen soll.


178
2017-10-28 18:01


Ursprung


Wenn jemand hier mit einer CER-Datei statt mit einem CRT landet, Sie sind das Gleiche (nur mit einer anderen Erweiterung). Sie sollten in der Lage sein, diesen Antworten zu folgen und nur den Dateinamen zu ersetzen. - Oli♦
BTW: für einen bequemen Weg zu Holen Sie sich CA-Zertifikate von der Kommandozeile, schauen Sie hier, auf Serverfehler. - Frank Nocke


Antworten:


Installation eines Root- / CA-Zertifikats

Eine CA-Zertifikatsdatei angegeben foo.crt, folge diesen Schritten, um es auf Ubuntu zu installieren:

  1. Erstellen Sie ein Verzeichnis für zusätzliche CA-Zertifikate in /usr/share/ca-certificates:

    sudo mkdir /usr/share/ca-certificates/extra
    
  2. Kopieren Sie die Zertifizierungsstelle .crt Datei in dieses Verzeichnis:

    sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt
    
  3. Lass Ubuntu das hinzufügen .crt Dateipfad relativ zu /usr/share/ca-certificates zu /etc/ca-certificates.conf:

    sudo dpkg-reconfigure ca-certificates
    

Im Falle von a .pem Datei auf Ubuntu, muss es zuerst in ein konvertiert werden .crt Datei:

openssl x509 -in foo.pem -inform PEM -out foo.crt

215
2018-01-12 12:37



Wie wäre es mit der Verwendung? /usr/local/share/ca-certificates (lokal!) anstatt eine Systempaketverwaltung verwaltete directoy zu verwenden? - gertvdijk
Könnte der folgende Schritt hinzugefügt werden, um sicherzustellen, dass das Zertifikat im PEM-Format vorliegt? openssl x509 -inform DER -outform PEM -in foo.crt -out foo.pem - steakunderscore
Beachten Sie, dass Firefox (und möglicherweise eine andere Software) nicht die systemweiten Zertifikate verwendet, sondern über einen eigenen Zertifikatspeicher verfügt: askubuntu.com/a/248326/79344. - Amir Ali Akbari
Beachten Sie, dass die Datei Muss im PEM-Format sein und die Erweiterung ".crt" haben. - Anton
sudo dpkg-reconfigure ca-certificates Danke, der andere sudo update-ca-certificates --fresh hat am 16.10 nicht funktioniert. - antivirtel


Gehen Sie folgendermaßen vor, um eine CA-Zertifikatsdatei "foo.crt" unter Ubuntu zu installieren:

Kopieren Sie zuerst Ihre Zertifizierungsstelle in das Verzeichnis /usr/local/share/ca-certificates/

sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt

Aktualisieren Sie dann den CA-Speicher

sudo update-ca-certificates

Das ist alles. Sie sollten diese Ausgabe erhalten:

Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:foo.pem
done.
done.

Zum Bearbeiten wird keine Datei benötigt. Der Link zu Ihrer Zertifizierungsstelle wird automatisch erstellt.

Bitte beachten Sie, dass die Zertifikatsdateinamen enden müssen .crt, ansonsten der update-ca-certificates Skript wird sie nicht aufnehmen.

Diese Prozedur funktioniert auch in neueren Versionen: Anleitungen.


156
2017-11-15 17:44



das scheint im trusty 14.04 nicht zu funktionieren - mcantsin
Bitte beachten Sie, dass dies, anders als das Hinzufügen zu / usr / share / ca-certificates, anscheinend nur funktioniert, wenn sie direkt in / usr / local / share / ca-certificates und nicht in einem Unterverzeichnis sind. +1 für die Verwendung des lokalen Ordners anstelle des Systemordners! - Toby J
Dies ist in dokumentiert README.Debian. - pevik
@ Sparky1, Dies sollte die akzeptierte Antwort sein. - Drew Chapin
@FranklinYu Danke :) Debian wechselte von Alioth zu Salsa, das würde auch funktionieren: salsa.debian.org/debian/ca-certificates/raw/master/debian/..., aber sources.debian.org ist besser. - pevik


Installieren Sie eine Zertifizierungsstelle auf Ubuntu

Ich habe das auf Ubuntu 14.04 getestet.

Hier ist meine Lösung, ich habe lange gesucht und gesucht, um herauszufinden, wie man das zum Laufen bringt.

  1. Extrahiere das .cer aus dem Browser. Ich habe IE 11 benutzt.
    • Einstellungen -> Internetoptionen -> Zwischenzertifizierungsstellen
    • Wählen Sie die Zertifizierungsstelle aus, die Sie exportieren möchten (certutil -config - -ping zeigt Ihnen diejenigen an, die Sie verwenden, wenn Sie sich hinter einem Unternehmens-Proxy befinden)
    • Exportieren -> Wählen Sie das Format, das Sie verwenden möchten: DER Encoder .cer
  2. Holen Sie die CER-Dateien irgendwie zu Ubuntu
  3. In .crt konvertieren openssl x509 -inform DER -in certificate.cer -out certificate.crt
  4. Mache ein extra Verzeichnis sudo mkdir /usr/share/ca-certificates/extra
  5. Kopieren Sie Zertifikate über sudo cp certificate.crt /usr/share/ca-certificates/extra/certificate.crt
  6. sudo update-ca-certificates
  7. Wenn nicht, dann musst du tun, was ich getan habe, gehe zu sudo nano /etc/ca-certificates.conf
  8. Scrollen Sie nach unten und finden Sie Ihre .cer und entfernen Sie die ! vor dem Dateinamen (Update-CA-Zertifikate Dokument)
  9. Lauf sudo update-ca-certificates
  10. Möglicherweise müssen Sie den CAs von Firefox, Chrome usw. individuell vertrauen. Ich brauchte sie, um mit Docker zu arbeiten. Nach diesen Schritten funktionierte es mit Docker.

4
2017-09-13 19:50



funktioniert das in 16.04? - endolith
@endolith hat am 16.04 für mich gearbeitet. - Shubham Aggarwal


Stellen Sie das (Root- / CA-) Zertifikat auf einem lokalen Webserver in Ihrem Netzwerk bereit.

  • Navigieren Sie dazu mit Firefox.
  • Öffnen Sie das Zertifikat und teilen Sie Firefox mit, es als Ausnahme hinzuzufügen.
  • Firefox wird Sie fragen, ob Sie dieses Zertifikat für die Identifizierung von Websites, für E-Mail-Benutzer oder für Softwarehersteller verwenden möchten.
  • Genießen!

Aktualisieren: Es wird notwendig sein zu überprüfen, ob dies auf Ubuntu 11 funktioniert. Ich habe festgestellt, dass ich das gerade mit Ubuntu 12.04 LTS gemacht habe.


2
2018-06-29 05:54



hat Firefox seinen eigenen Zertifikatsbehälter nicht? Wenn man auf diese Weise ein Zertifikat hinzufügen würde, wäre nur Firefox in der Lage es zu benutzen, oder? - Aiyion.Prime
Das funktioniert überhaupt nicht, Sie müssen es immer noch dem globalen Cert-Container des Betriebssystems hinzufügen, sonst wird es nur im Firefox-Container sein. - arc_lupus


Von Hier:

Installieren des Zertifikats

Sie können die Schlüsseldatei example.key und die Zertifikatsdatei example.crt oder die von Ihrer Zertifizierungsstelle ausgestellte Zertifikatsdatei installieren, indem Sie folgende Befehle an einer Terminal-Eingabeaufforderung ausführen:

sudo cp example.crt /etc/ssl/certs
sudo cp example.key /etc/ssl/private

Konfigurieren Sie jetzt einfach alle Anwendungen mit der Möglichkeit, die Kryptografie mit öffentlichen Schlüsseln zu verwenden, um die Zertifikat- und Schlüsseldateien zu verwenden. Zum Beispiel kann Apache HTTPS bereitstellen, Dovecot kann IMAPS und POP3S bereitstellen usw.


1
2017-10-28 18:05



Sollte etwas genauer gelesen haben ... Es sieht so aus, als ob es nicht für Root-Zertifikate ist. Die Seite, mit der ich verlinkt habe, enthält jedoch Informationen zu Stammzertifikaten, die nützlich sein könnten. - jat255
Ich habe keinen öffentlichen Schlüssel und keinen privaten Schlüssel, ich habe nur eine .crt, also scheint diese Anweisung nicht zu gelten. - Sparky1


Das Hinzufügen eines Root-CA-Zertifikats in FireFox ist jetzt sehr einfach. Öffnen Sie einfach die Einstellungen, gehen Sie zu "Datenschutz & Sicherheit", scrollen Sie nach unten zu "Zertifikate" und klicken Sie auf "Zertifikate anzeigen ...". Hier können Sie auf "Zertifikat importieren" klicken. Zeigen Sie auf Ihre Stammzertifizierungsstelle (.pem) und klicken Sie auf OK. Das war's Leute.


0
2018-03-29 21:26