Я пытаюсь добавить имя файла центра сертификации (CA) - ca.crt в /etc/ssl/certs, для этого я следовал этой статье.
Я скопировал свой файл ca.crt в /etc/pki/ca-trust/source/anchors/ и запустил команду ниже;
update-ca-trust extract
После этого я проверил файл /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt, но не нашел свой CA.
Я не могу понять, в чем может быть проблема.
Что я делаю не так и как я могу это исправить?
скопируйте свои сертификаты внутри
/etc/pki/ca-trust/source/anchors/
затем выполните следующую команду
update-ca-trust
найдите файл *.pem и поместите его в подкаталог anchors или просто свяжите туда файл *.pem.
yum install -y ca-certificates
update-ca-trust force-enable
sudo ln -s /etc/ssl/your-cert.pem /etc/pki/ca-trust/source/anchors/your-cert.pem
update-ca-trust
Ваш файл CA должен быть в двоичном формате X.509 вместо кодировки Base64; это должен быть обычный DER или PEM, чтобы успешно добавить его в список доверенных CA на вашем сервере.
Чтобы продолжить, поместите файл CA в каталог /usr/share/pki/ca-trust-source/anchors/, а затем запустите приведенную ниже командную строку (вам могут потребоваться привилегии sudo в зависимости от ваших настроек);
# CentOS 7, Red Hat 7, Oracle Linux 7
update-ca-trust
Обратите внимание, что все параметры доверия, доступные в /usr/share/pki/ca-trust-source/anchors/, интерпретируются с более низким приоритетом по сравнению с параметрами, расположенными в /etc/pki/ca-trust/source/anchors/ каталог, который может быть в расширенном формате файла BEGIN TRUSTED.
Для систем Ubuntu и Debian предпочтительным каталогом для этой цели является /usr/local/share/ca-certificates/.
Таким образом, вам нужно поместить ваш файл CA в каталог /usr/local/share/ca-certificates/, а затем обновить доверенные CA, запустив, с необходимыми привилегиями sudo, командную строку ниже;
update-ca-certificates
БЫСТРАЯ ПОМОЩЬ 1: Чтобы добавить сертификат в простых форматах файлов PEM или DER к списку доверенных центров сертификации в системе:
добавьте его как новый файл в каталог /etc/pki/ca-trust/source/anchors/
запустить обновление update-ca-trust
БЫСТРАЯ ПОМОЩЬ 2: Если ваш сертификат имеет расширенный формат файла BEGIN TRUSTED (который может содержать флаги доверия недоверия/черного списка или флаги доверия для использования, отличного от TLS), то:
Более подробную информацию см. man update-ca-trust
В CentOS7 генерирующий CA должен находиться в /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
Таким образом, вы можете создать символическую ссылку, как /etc/pki/tls/certs ниже в /etc/pki/tls/certs
ca-bundle.crt ->/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem ca-bundle.trust.crt ->/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt
ПРИМЕЧАНИЕ. Библиотека ca-certificates должна создать символическую ссылку для вас. Тем не менее, я должен переустановить или вручную создать символические ссылки самостоятельно после запуска update-ca-trust и update-ca-trust enable. Если кто-нибудь знает, почему, пожалуйста, дайте мне знать :)