Adicionar uma autoridade de certificação personalizada ao Ubuntu

Eu criei uma autoridade de certificação raiz personalizada para uma rede interna, exemplo.com. Idealmente, eu gostaria de poder implantar o certificado CA associado a esta autoridade de certificação nos meus clientes Linux (executando o Ubuntu 9.04 e CentOS 5.3), de modo que todos os aplicativos reconheçam automaticamente a autoridade de certificação (ou seja, eu não quero ter configurar o Firefox, Thunderbird, etc manualmente para confiar nessa autoridade de certificação).

Eu tentei isso no Ubuntu copiando o certificado CA codificado em PEM para / etc / ssl / certs / e / usr / share / ca-certificates /, assim como modificando /etc/ca-certificates.conf e executando novamente o update- certificados CA, no entanto, os aplicativos parecem não reconhecer que eu adicionei outra autoridade de certificação confiável ao sistema.

Portanto, é possível adicionar um certificado de CA uma vez a um sistema ou é necessário adicionar manualmente a CA a todos os aplicativos possíveis que tentarão fazer conexões SSL com hosts assinados por esta CA na minha rede? Se é possível adicionar um certificado CA uma vez ao sistema, para onde ele precisa ir?

Obrigado.

Em resumo: você precisa atualizar todos os aplicativos por si só

Nem o Firefox e o Thunderbird compartilham certificados.

Infelizmente, o Linux não tem um lugar central para armazenar / gerenciar certificados SSL. O Windows possui esse local, mas no final você acaba com o mesmo problema (o Firefox / Thunderbird não usará a API fornecida pelo Windows para determinar a validade de um certificado SSL)

Eu usaria algo como puppet / cfengine em cada um dos hosts e colocaria os certificados raiz necessários em todos os clientes com os mecanismos que essas ferramentas fornecem.

Infelizmente, programas como o Firefox e Thunderbird usam seu próprio banco de dados.

No entanto, você pode escrever um script para encontrar todos os perfis e adicionar o certificado. Aqui está a ferramenta para adicionar o certificado: http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html

Além disso, você pode configurar um arquivo cert8.db padrão, para que novos perfis o obtenham também.

Para outras aplicações, é importante saber se suportam ou não o armazenamento central.

O método que você especificou atualizará o /etc/ssl/certs/ca-certificates.crt central. No entanto, você encontrará a maioria dos aplicativos não configurados para usar esse arquivo. A maioria dos aplicativos pode ser configurada para apontar para o arquivo central. Não existe uma maneira automática de fazer com que tudo use esse arquivo sem reconfigurá-lo.

Pode valer a pena arquivar bugs no Ubuntu / Debian para usar este arquivo por padrão.

Você pode adicionar suas CAs PKI personalizadas no ubuntu e em outras distros: Aqui você tem o link, que pode ser valioso: Linux Cert Management