Wie installiere ich ein systemweites SSL-Zertifikat unter openSUSE?

10

Ich habe ein PEM-Zertifikat, das ich gerade von einem Webserver heruntergeladen habe. Ich möchte es systemweit installieren, damit ich den Server einrollen kann, ohne dass er sich über ein fehlendes Zertifikat beschwert.

Ich habe versucht, die Datei in / etc / ssl / certs abzulegen, aber es ist nichts passiert.

Oin
quelle

Antworten:

8

Wie bereits erwähnt, unterstützt SUSE Ca-Zertifikate ab openSUSE 13.1 / SLES 12.

Der Unterschied zu debian / Ubuntu ist das Verzeichnis für Ihre Zertifikate. Die SLES-Manpage update-ca-certificatesenthält folgende Verzeichnisse:

FILES
   /usr/share/pki/trust/anchors
          Directory of CA certificate trust anchors.

   /usr/share/pki/trust/blacklist
          Directory of blacklisted CA certificates

   /etc/pki/trust/anchors
          Directory of CA certificate trust anchors for use by the admin

   /etc/pki/trust/blacklist
          Directory of blacklisted CA certificates for use by the admin

Das openSUSE-Paket erwähnt Folgendes:

- Packages are expected to install their CA certificates in 
  /usr/share/pki/trust/anchors or /usr/share/pki/trust (no extra subdir) instead
  of /usr/share/ca-certificates/<vendor> now. The anchors subdirectory is for
  regular pem files, the directory one above for pem files in
  openssl's 'trusted' format.
Christian
quelle
Dann laufen Sie sudo update-ca-certificatesdanach.
wisbucky
3

Ich würde nach einem Paket suchen, das heißt ca-certificates(so heißt es in Red Hat-Distributionen). Alle Hauptdistributionen bündeln Zertifikate und befinden sich im Allgemeinen am selben Speicherort.

Da SuSE auch RPM-Pakete verwendet, können Sie eine Abfrage wie diese durchführen, um den Namen des Pakets zu ermitteln, das Zertifikate bereitstellt:

$ rpm -aq | grep -i cert
ca-certificates-2010.63-3.el6_1.5.noarch

Mit dem Namen dieses Pakets kann ich dann rpm -qi <package name>weitere Infos dazu herausfinden:

$ rpm -qi ca-certificates-2010.63-3.el6_1.5.noarch
Name        : ca-certificates              Relocations: (not relocatable)
Version     : 2010.63                           Vendor: CentOS
Release     : 3.el6_1.5                     Build Date: Fri 23 Sep 2011 03:39:46 PM EDT
Install Date: Sat 15 Dec 2012 02:34:14 PM EST      Build Host: c6b5.bsys.dev.centos.org
Group       : System Environment/Base       Source RPM: ca-certificates-2010.63-3.el6_1.5.src.rpm
Size        : 1353134                          License: Public Domain
Signature   : RSA/SHA1, Mon 26 Sep 2011 12:17:03 AM EDT, Key ID 0946fca2c105b9de
Packager    : CentOS BuildSystem <http://bugs.centos.org>
URL         : http://www.mozilla.org/
Summary     : The Mozilla CA root certificate bundle
Description :
This package contains the set of CA certificates chosen by the
Mozilla Foundation for use with the Internet PKI.

Dieser Befehl listet seinen Inhalt auf:

$ rpm -ql ca-certificates-2010.63-3.el6_1.5.noarch
/etc/pki/java
/etc/pki/java/cacerts
/etc/pki/tls
/etc/pki/tls/cert.pem
/etc/pki/tls/certs
/etc/pki/tls/certs/ca-bundle.crt
/etc/pki/tls/certs/ca-bundle.trust.crt
/etc/ssl
/etc/ssl/certs

Dieser letzte Befehl zeigt Ihnen, wo die Zertifikate gespeichert werden.

YaST

Wenn Sie dies nicht manuell tun möchten, können Sie YaST meiner Meinung nach auch zum Hinzufügen von CA-Zertifikaten verwenden. Hier ist ein Tutorial mit dem Titel: Kapitel 15. Verwalten der X.509-Zertifizierung , das Sie durch diesen Prozess führen soll.

slm
quelle
Der aufgelistete Befehl zur Paketsuche durchsucht nur installierte Pakete, die nicht verfügbar sind (SUSE-Benutzer haben mehr Glück zypper -n search certbeim Suchen von Paketen). Und die Auflistung der Inhalt des Pakets Sie nicht sagen , was die Verzeichnisse das Paket erstellt sind für , nur , dass sie existieren. Die Dokumentation, auf die verwiesen wird, wenn sie vorhanden ist (ich werde den Link in einer Sekunde reparieren), enthält Anweisungen zum Erstellen einer neuen Zertifizierungsstelle und nicht zum Verwalten importierter Zertifizierungsstellen. Alles in allem ist dies keine wirklich "schlechte" Antwort, da es gute "wie ich das herausfinden würde" -Schritte liefert; es gehört einfach nicht als oberste Antwort.
Dannysauer
1

Ich installierte:

ca-certificates-cacert
ca-certificates-mozilla

und es löste das Problem.

Alex
quelle
ca-certficates-mozillasollte sein ca-certificates-mozilla.
ismailarilik
0

Ich glaube, Sie können update-ca-certificatesdie von ca-Zertifikaten bereitgestellten verwenden, diese Ubuntu-Anweisungen ausprobieren und diese Antwort bei Bedarf aktualisieren

/superuser/437330/how-do-you-add-a-certificate-authority-ca-to-ubuntu

KCD
quelle
Unter openSUSE sollten Sie /usr/share/ca-certificatesanstelle von kopieren /usr/local/share/ca-certificates.
To1ne
Auf OpenSUSE Leap 42.1 habe ich gefunden:/usr/lib/ca-certificates
david.perez
1
In der Antwort @Christian finden Sie das aktuelle entsprechende Verzeichnis ( /usr/share/pki/trust/anchors).
Dannysauer