उबंटू में एक कस्टम प्रमाणपत्र प्राधिकारी जोड़ें

मैंने एक आंतरिक नेटवर्क के लिए एक कस्टम रूट प्रमाणपत्र प्राधिकरण बनाया है, example.com। आदर्श रूप से, मैं इस प्रमाणपत्र प्राधिकारी से जुड़े सीए प्रमाण पत्र को अपने लिनक्स ग्राहकों (उबंटू 9.04 और CentOS 5.3 चलाने) में तैनात करने में सक्षम होना चाहूंगा, जैसे कि सभी एप्लिकेशन स्वचालित रूप से प्रमाण पत्र प्राधिकरण को पहचानते हैं (अर्थात मुझे नहीं करना है। कॉन्फ़िगर करने के लिए फ़ायरफ़ॉक्स, थंडरबर्ड, आदि मैन्युअल रूप से इस प्रमाणपत्र प्राधिकरण पर भरोसा करने के लिए)।

मैंने Ubuntu पर PEM-encoded CA प्रमाणपत्र / etc / ssl / certs / और / usr / share / ca-प्रमाणपत्र / की प्रतिलिपि बनाकर और साथ ही /etc/ca-certports.conf और पुनरावर्ती अद्यतन को संशोधित करके यह प्रयास किया है। सीए-सर्टिफिकेट, हालांकि अनुप्रयोगों को यह प्रतीत नहीं होता है कि मैंने सिस्टम में एक और विश्वसनीय सीए जोड़ा है।

इसलिए, क्या एक सिस्टम में एक बार CA प्रमाणपत्र जोड़ना संभव है, या क्या यह संभव है कि सभी संभावित अनुप्रयोगों में सीए को मैन्युअल रूप से जोड़ा जाए जो मेरे नेटवर्क में इस सीए द्वारा हस्ताक्षरित मेजबानों पर एसएसएल कनेक्शन बनाने का प्रयास करेंगे? यदि सिस्टम में एक बार सीए सर्टिफिकेट जोड़ना संभव है, तो उसे कहां जाना है?

धन्यवाद।

संक्षेप में: आपको हर एप्लिकेशन को स्वयं अपडेट करना होगा

फ़ायरफ़ॉक्स और थंडरबर्ड शेयर सर्टिफिकेट भी नहीं।

दुर्भाग्य से लिनक्स के पास एसएसएल-प्रमाणपत्रों को संग्रहीत / प्रबंधित करने के लिए कोई केंद्रीय स्थान नहीं है। विंडोज में ऐसी जगह होती है लेकिन अंत में आप एक ही समस्या के साथ समाप्त हो जाते हैं (फ़ायरफ़ॉक्स / थंडरबर्ड एक एसएसएल प्रमाणपत्र की वैधता निर्धारित करने के लिए विंडोज द्वारा दिए गए एपीआई का उपयोग नहीं करेगा)

मैं मेजबानों में से प्रत्येक पर कठपुतली / कोफ़ेंगिन जैसी चीज़ के साथ जाऊँगा और उन उपकरणों को उपलब्ध कराने वाले तंत्र के साथ सभी क्लाइंट पर आवश्यक रूट सर्टिफिकेट रखूँगा।

फायरफॉक्स और थंडरबर्ड जैसे दुखद कार्यक्रम अपने स्वयं के डेटाबेस का उपयोग करते हैं।

हालाँकि आप सभी प्रोफाइलों को खोजने के लिए एक स्क्रिप्ट लिख सकते हैं, फिर प्रमाण पत्र जोड़ सकते हैं। यहाँ प्रमाणपत्र जोड़ने का उपकरण है: http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html

साथ ही आप एक डिफ़ॉल्ट cert8.db फ़ाइल को सेटअप कर सकते हैं, इसलिए नए प्रोफाइल भी मिल जाएंगे।

अन्य अनुप्रयोगों के लिए इसकी बात है कि वे केंद्रीय स्टोर का समर्थन करते हैं या नहीं।

आपके द्वारा निर्दिष्ट विधि केंद्रीय /etc/ssl/certs/ca-certports.crt को अपडेट करेगी। हालाँकि, आप पाएंगे कि अधिकांश एप्लिकेशन इस फ़ाइल का उपयोग करने के लिए कॉन्फ़िगर नहीं किए गए हैं। अधिकांश अनुप्रयोगों को केंद्रीय फ़ाइल पर इंगित करने के लिए कॉन्फ़िगर किया जा सकता है। सब कुछ बनाने का कोई स्वचालित तरीका नहीं है इस फ़ाइल का उपयोग उन्हें पुन: कॉन्फ़िगर किए बिना।

यह डिफ़ॉल्ट रूप से इस फ़ाइल का उपयोग करने के लिए उबंटू / डेबियन में कीड़े दाखिल करने के लायक हो सकता है।

आप अपने कस्टम PKI CA को ubuntu और अन्य डिस्ट्रोस में जोड़ सकते हैं: यहां आपके पास लिंक है, आपको मूल्यवान मिल सकता है: लिनक्स दूरसंचार प्रबंधन