Stellen Sie die interne Zertifizierungsstelle für Linux-Clients bereit

8

Ich habe eine große Anzahl von Workstations, auf denen RedHat Enterprise Linux 5 und 6 ausgeführt wird. Ich möchte unsere neue interne Zertifizierungsstelle (Active Directory) auf diesen Computern bereitstellen. Ich kann das Zertifikat ohne Probleme manuell in Firefox 10 importieren, aber ich kann anscheinend nicht finden, wo die CER-Datei im Dateisystem gespeichert werden soll, damit sie von FireFox und Google Chrome verwendet wird. Gibt es einen zentralen Speicherort für vertrauenswürdige Zertifizierungsstellen, der von diesen beiden Browsern verwendet wird?

Wenn nicht, würde ich mich mit einer automatisierteren Methode zufrieden geben, damit FireFox meine Zertifizierungsstelle akzeptiert.

Sachen, die ich versucht habe

  • Verwendung der von Mozilla bereitgestellten certutil- dies scheint jedoch nur mit clientseitigen Zertifikaten zu tun zu haben, es sei denn, ich irre mich.
  • Änderungen /etc/pki/tls/ca-bundle.crtim ca-certificatesPaket enthalten. Firefox scheint diese Datei nicht zu berücksichtigen.
Kyle Smith
quelle
Ich habe es selbst nie benutzt, aber Firefox wird mit einem Tool namens certutil( mozilla.org/projects/security/pki/nss/tools/certutil.html ) geliefert . Ich denke, das kann das tun, was Sie brauchen, zumindest für Firefox.
Kenny Rasschaert
Nach anfänglichem Stöbern sieht es so aus, als ob die NSS-Datenbank keine Zertifizierungsstellen enthält, sondern clientseitige Zertifikate.
Kyle Smith

Antworten:

3

Für Firefox: FF speichert das Zertifikat im Benutzerprofil. Sie müssen das Zertifikat für jedes Profil in jeder Box importieren. Bei vertrauenswürdigen Zertifizierungsstellen sollte das Zertifikat im PEM-Format vorliegen und mit dem certutilBefehl importiert werden (verfügbar im nss-toolsPaket auf RedHat):

Mit diesem Befehl können Sie die Zertifikate auflisten:

certutil -L -d ~/.mozilla/firefox/[profile]

Anschließend kann das Zertifikat importiert werden mit:

certutil -A -n 'Certificate Name' -t CT,, -d ~/.mozilla/firefox/[profile] < /path/to/certificate.pem

Weitere Informationen finden Sie unter http://www.dzhang.com/blog/2011/01/29/importing-exporting-firefox-certificates-from-command-line .

Laut dem Chrom-Wiki können Sie certutil für Chrom verwenden. Ich weiß nicht, ob dies auch für das Serienchrom funktioniert.

Mit ein wenig Skripting sollte es möglich sein, Ihre AD-Zertifizierungsstelle in dieser Umgebung automatisch bereitzustellen.

ercpe
quelle
Vielen Dank für diese Antwort, es sieht sehr vielversprechend aus. Sobald ich einige freie Momente habe, werde ich gerne testen und Ihnen ein hellgrünes Häkchen geben!
Kyle Smith
Danke, dass du mich in die richtige Richtung gelenkt hast. Scheint, pk12utilals ob Zertifikate im pkcs12-Format für die clientseitige Authentifizierung vorgesehen sind, aber dies hat mich dazu gebracht, zu prüfen, welche Zertifikate certutildie CA-Vertrauenswürdigkeit ändern können. Ich werde die Antwort mit weiteren Informationen bearbeiten, wenn Sie neugierig sind.
Kyle Smith