我为内部网络 example.com 创建了自定义根证书颁发机构。理想情况下,我希望能够将与此证书颁发机构关联的 CA 证书部署到我的 Linux 客户端(运行 Ubuntu 9.04 和 CentOS 5.3),以便所有应用程序自动识别证书颁发机构(即我不想拥有手动配置 Firefox、Thunderbird 等以信任此证书颁发机构)。
我通过将 PEM 编码的 CA 证书复制到 /etc/ssl/certs/ 和 /usr/share/ca-certificates/ 以及修改 /etc/ca-certificates.conf 并重新运行 update- 在 Ubuntu 上尝试了此操作。 ca 证书,但是应用程序似乎无法识别我已向系统添加了另一个受信任的 CA。
因此,是否可以向系统添加一次 CA 证书,或者是否有必要将 CA 手动添加到所有可能的应用程序中,这些应用程序将尝试与我的网络中由该 CA 签名的主机建立 SSL 连接?如果可以在系统中添加一次CA证书,它需要去哪里?
谢谢。
简而言之:您需要自行更新每个应用程序
甚至 Firefox 和 Thunderbird 也不共享证书。
不幸的是,Linux 没有存储/管理 SSL 证书的中心位置。Windows 确实有这样的地方,但最终你会遇到同样的问题(Firefox/Thunderbird 不会使用 Windows 提供的 API 来确定 SSL 证书的有效性)
我会在每台主机上使用类似 puppet/cfengine 的东西,并使用这些工具提供的机制将所需的根证书放置在所有客户端上。
| 归档时间: |
|
| 查看次数: |
16123 次 |
| 最近记录: |