Как мне установить корневой сертификат?

Это иллюстрированное руководство содержит ответы на три маркированных пункта в вашем вопросе, но оно не отвечает на часть вашего вопроса о документации для любого кода Python. Ниже приведен снимок экрана приложения gufw из репозиториев Ubuntu по умолчанию, который показывает, как легко получить текущие установленные правила в gufw. Gufw - это графический интерфейс для ufw, который сам по себе является интерфейсом для iptables.

enter image description here

Если вы действительно хотите перейти на уровень кода с помощью ufw, то вы готовы рассмотреть возможность использования iptables, чтобы получить именно то, что правила брандмауэра вы хотите, запустив команды в терминале.

201
задан 15.04.2020, 04:37

6 ответов

Другие ответы не помогли мне с Ubuntu 18.04. Я передал сертификат сертификата в /etc/ssl/certs/ca-certificates.crt с помощью следующей команды:

cat YOUR_CERT_HERE.crt >> /etc/ssl/certs/ca-certificate.crt 
0
ответ дан 15.04.2020, 04:37
  • 1
    2 часа имения предосудительные отношения импортируют команды, прежде чем я нашел это. Прекрасный! – Schneider 15.04.2020, 04:38
  • 2
    Команда является неправильной, финал s отсутствует: cat YOUR_CERT_HERE.crt >> /etc/ssl/certs/ca-certificates.crt . Спасибо за это решение. – 2 revs 15.04.2020, 04:38

Учитывая файл сертификата CA 'foo.crt', выполните следующие шаги, чтобы установить его в Ubuntu:

Сначала скопируйте свой CA в dir /usr/local/share/ca-certificates/

sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt

, затем, обновить CA store

sudo update-ca-certificates

Вот и все. Вы должны получить этот вывод:

Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....
Adding debian:foo.pem
done.
done.

Файл не требуется редактировать. Ссылка на ваш ЦС создается автоматически.

Обратите внимание, что имена файлов сертификатов должны заканчиваться на .crt, в противном случае сценарий update-ca-certificates их не поймет.

Эта процедура также работает в более новых версиях: руководства .

0
ответ дан 15.04.2020, 04:38
  • 1
    это, кажется, не работает у испытанного тара 14.04 – RCIX 15.04.2020, 04:38
  • 2
    Спасибо @FranklinYu:) Debian переместился от Alioth до Сальсы, это работало бы также: salsa.debian.org/debian/ca-certificates/raw/master/debian/… , но sources.debian.org лучше. – Esben Skov Pedersen 15.04.2020, 04:39
  • 3
    Это документируется в README.Debian. – Jon Skeet 15.04.2020, 04:39
  • 4
    @Sparky1, Это должно быть принятым ответом. – Naeem Sarfraz 15.04.2020, 04:39
  • 5
    Обратите внимание на то, что, в отличие от добавления к/usr/share/ca-certificates, это, кажется, только работает если they' ре непосредственно в/usr/local/share/ca-certificates и не подкаталог. +1 для использования локальной папки вместо системной папки! – Bryan Watts 15.04.2020, 04:40

Добавить сертификат Root CA в FireFox сейчас очень просто. Просто откройте настройки, перейдите в раздел «Конфиденциальность и безопасность», прокрутите вниз до «Сертификаты» и нажмите «Просмотреть сертификаты ...». Здесь вы можете нажать «Импортировать сертификат». Укажите ваш корневой CA (.pem) и ОК. Это все люди.

0
ответ дан 15.04.2020, 04:39

Из здесь :

Установка сертификата

Вы можете установить файл ключа example.key и файл сертификата example.crt или файл сертификата, выпущенный вашим CA, выполнив следующие команды в терминальном запросе:

sudo cp example.crt /etc/ssl/certs
sudo cp example.key /etc/ssl/private

Теперь просто настройте любые приложения с возможностью использования криптографии с открытым ключом для использования файлов сертификатов и ключей. Например, Apache может предоставлять HTTPS, Dovecot может предоставлять IMAPS, POP3S и т. Д.

0
ответ дан 15.04.2020, 04:39
  • 1
    Должен был читать более тесно... Это похоже на that' s не для корневых сертификатов. Та страница, которую я связал с тем, хотя имеет информацию о корневых сертификатах, которые могли бы быть полезными. – NotMe 15.04.2020, 04:40
  • 2
    Я don' t имеют открытый ключ и закрытый ключ, у меня просто есть .crt поэтому, к сожалению, те инструкция don' t, кажется, применяются. – Billy ONeal 15.04.2020, 04:40

Установка корневого сертификата / сертификата CA

Для файла сертификата CA foo.crt выполните следующие действия для его установки в Ubuntu:

  1. Создайте каталог для дополнительных Сертификаты CA в /usr/share/ca-certificates:

    sudo mkdir /usr/share/ca-certificates/extra
    
  2. Скопируйте файл CA .crt в этот каталог:

    sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt
    
  3. Let Ubuntu добавьте путь к файлу .crt относительно /usr/share/ca-certificates к /etc/ca-certificates.conf:

    sudo dpkg-reconfigure ca-certificates
    

    Чтобы сделать это не в интерактивном режиме, выполните:

    sudo update-ca-certificates
    

В случае файла .pem в Ubuntu его сначала необходимо преобразовать в файл .crt:

openssl x509 -in foo.pem -inform PEM -out foo.crt
0
ответ дан 15.04.2020, 04:40
  • 1
    Мог добавить следующий шаг, чтобы гарантировать, что сертификат находится в формате pem? openssl x509 -inform DER -outform PEM -in foo.crt -out foo.pem – Patrik Lindström 15.04.2020, 04:40
  • 2
    Обратите внимание что Firefox (и возможно некоторое другое программное обеспечение) don' t используют сертификаты в масштабе всей системы, но имеет его собственное хранилище сертификатов: askubuntu.com/a/248326/79344 . – 2 revs 15.04.2020, 04:40
  • 3
    Как насчет того, чтобы использовать /usr/local/share/ca-certificates (локальный!) вместо того, чтобы использовать управление системным пакетом управляемый directoy? – Jason Kleban 15.04.2020, 04:41
  • 4
    Обратите внимание, что файл должен быть в формате PEM и иметь " .crt" расширение. – user305950 15.04.2020, 04:41
  • 5
    Команда openssl x509 -in foo.pem -inform PEM -out foo.crt копирует файл PEM в файл PEM. Это может быть сделано легче путем переименования. – RCIX 15.04.2020, 04:42

Имейте сертификат (root / CA) на веб-сервере, локальном для вашей сети, если хотите.

  • Просмотрите его с помощью Firefox.
  • Откройте сертификат и скажите Firefox, чтобы он был добавлен в качестве исключения.
  • Firefox спросит вас, хотите ли вы доверять этому сертификату для идентификации веб-сайтов, для пользователей электронной почты или для издателей программного обеспечения.
  • Наслаждайтесь!

Обновление: Необходимо проверить, работает ли это на Ubuntu 11. Я понял, что только что сделал это на Ubuntu 12.04 LTS. [ 115]

0
ответ дан 15.04.2020, 04:41
  • 1
    Это не работает вообще, все еще необходимо добавить его к глобальному контейнеру сертификата ОС, иначе это только будет в контейнере Firefox. – Buffalo 15.04.2020, 04:41
  • 2
    hasn' t Firefox его собственный контейнер сертификата? Если бы можно было бы добавить сертификат этот путь, просто Firefox был бы в состоянии использовать его, wouldn' t это? – Valera Kolupaev 15.04.2020, 04:42

Теги

Похожие вопросы