Comment installer un certificat racine?

Eli_D · August 20, 2022, 6:07am

Quelqu'un peut-il me diriger vers un bon tutoriel sur l'installation d'un certificat racine sur Ubuntu?

On m'a fourni un .crt fichier. Je comprends que le besoin de créer un répertoire à /usr/share/ca-certificates/newdomain.org et placez le .crt dans ce répertoire. Au-delà, je ne sais pas comment procéder.

Blake_P · August 20, 2022, 6:13am

Installation d'un certificat racine/CA

Compte tenu d'un fichier de certificat CA foo.crt, suivez ces étapes pour l'installer sur Ubuntu:

Créez un répertoire pour les certificats CA supplémentaires dans /usr/local/share/ca-certificates:
```
 sudo mkdir /usr/local/share/ca-certificates/extra
```

Copiez le CA .crt fichier dans ce répertoire:

 sudo cp foo.crt /usr/local/share/ca-certificates/extra/foo.crt

Ajoutons le .crt chemin du fichier par rapport à /usr/local/share/ca-certificates de /etc/ca-certificates.conf:
```
 sudo dpkg-reconfigure ca-certificates
```

Pour ce faire de manière non interactive, exécutez:

    sudo update-ca-certificates

Dans le cas d'un .pem fichier sur Ubuntu, il doit d'abord être converti en un .crt fichier:

openssl x509 -in foo.pem -inform PEM -out foo.crt

Ou un .cer le fichier peut être converti en un .crt fichier:

openssl x509 -inform DER -in foo.cer -out foo.crt

Billie_C · August 20, 2022, 6:22am

Étant donné un fichier de certificat CA ' foo.crt', suivez ces étapes pour l'installer sur Ubuntu:

Tout d'abord, copiez votre CA dans dir /usr/local/share/ca-certificates/

sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt

ensuite, mettez à jour CA Store

sudo update-ca-certificates

C'est tout. Vous devriez obtenir cette sortie:

Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done.Running hooks in /etc/ca-certificates/update.d....Adding debian:foo.pemdone.done.

Aucun fichier n'est nécessaire pour éditer. Le lien vers votre autorité de certification est créé automatiquement.

Veuillez noter que les noms des fichiers de certificat doivent se terminer par .crt, sinon le update-ca-certificates le script ne les captera pas.

Cette procédure fonctionne également dans les versions plus récentes: manuel.

Jaime_curly · August 20, 2022, 6:31am

Clarification entre update-ca-certificates et dpkg-reconfigure ca-certificates et pourquoi l'un fonctionne et l'autre pas!!

update-ca-certificates ou sudo update-ca-certificates ne fonctionnera que si /etc/ca-certificates.conf a été mis à jour.
/etc/ca-certificate.conf est seulement mis à jour une fois que tu as couru dpkg-reconfigure ca-certificates qui met à jour les noms de certificat à importer dans /etc/ca-certificates.conf.

Ceci est indiqué dans l'en-tête de la /etc/ca-certificates.conf fichier:

# This file lists certificates that you wish to use or to ignore to be# installed in /etc/ssl/certs.# update-ca-certificates(8) will update /etc/ssl/certs by reading this file.## This is autogenerated by dpkg-reconfigure ca-certificates.  <=======# Certificates should be installed under /usr/share/ca-certificates# and files with extension '.crt' is recognized as available certs.## line begins with # is comment.# line begins with ! is certificate filename to be deselected.#mozilla/ACCVRAIZ1.crtmozilla/AC_RAIZ_FNMT-RCM.crtmozilla/Actalis_Authentication_Root_CA.crtmozilla/AddTrust_External_Root.crt...

Comme vous pouvez le voir, le format dans /etc/ca-certificates.conf être <folder name>/<.crt name>

Donc, afin d'utiliser update-ca-certificates ou sudo update-ca-certificates vous pouvez effectuer les opérations suivantes pour importer un .CRT:

Créer un répertoire pour les certificats CA supplémentaires dans /usr / share/ca-certificates:
```
sudo mkdir /usr/share/ca-certificates/extra
```

Copiez le .fichier crt dans ce répertoire:

sudo cp foo.crt /usr/share/ca-certificates/extra/foo.crt

Ajouter une ligne à /etc/ca-certificates.conf utiliser <folder name>/<.crt name>:
```
echo "extra/foo.crt" >> /etc/ca-certificates.conf
```

Mettre à jour les certificats de manière non interactive avec sudo update-ca-certificates

$ sudo update-ca-certificates...Updating certificates in /etc/ssl/certs...1 added, 0 removed; done.

Miller_A · August 20, 2022, 6:39am

Installer une autorité de certification sur Ubuntu

J'ai testé cela sur Ubuntu 14.04.

Voici ma solution, j'ai regardé et cherché pendant longtemps en essayant de comprendre comment faire fonctionner cela.

Extraire le .cer à partir du navigateur. J'ai utilisé IE 11.
- >>Paramètres-Options Internet-Autorités de Certification Intermédiaires
- Sélectionnez L'Autorité De Certification Que Vous Souhaitez Exporter (certutil -config - -ping vous montrera ceux que vous utilisez si vous êtes derrière un proxy d'entreprise)
- >Exporter-Sélectionnez Le Format Que Vous Souhaitez Utiliser: DER Encoded .cer
Prends le .fichiers cer vers Ubuntu en quelque sorte
Convertir en .CRT openssl x509 -inform DER -in certificate.cer -out certificate.crt
Créer un répertoire supplémentaire sudo mkdir /usr/share/ca-certificates/extra
Copier les certificats sur sudo cp certificate.crt /usr/share/ca-certificates/extra/certificate.crt
sudo update-ca-certificates
Si non, alors tu dois faire ce que j'ai fait, aller à sudo nano /etc/ca-certificates.conf
Faites défiler vers le bas et trouvez votre .cer et retirer le ! de devant le nom du fichier (mise à jour-ca-certificats doc) - si vous ne trouvez pas votre certificat, exécutez dpkg-reconfigure ca-certificates
Exécuter sudo update-ca-certificates
Vous devrez peut-être faire confiance individuellement aux autorités de certification de Firefox, Chrome, etc.. , J'en avais besoin pour fonctionner avec Docker, donc après ces étapes, cela a fonctionné avec Docker.

Logan_B · August 20, 2022, 6:48am

Les autres réponses ne fonctionnaient pas pour moi avec Ubuntu 18.04.Ajoutez le certificat cert à /etc/ssl/certs/ca-certificates.crt en utilisant la commande suivante:

cat YOUR_CERT_HERE.crt >> /etc/ssl/certs/ca-certificates.crt

Harley · August 20, 2022, 6:57am

Ayez le certificat (root / CA) disponible sur un serveur Web, local à votre réseau si vous le souhaitez.

Accédez-y avec Firefox.
Ouvrez le certificat et dites à Firefox de l'ajouter comme exception.
Firefox vous demandera si vous souhaitez faire confiance à ce certificat pour identifier des sites Web, pour les utilisateurs de messagerie électronique ou pour les éditeurs de logiciels.
Amusez-vous bien!

Mettre: Il faudra vérifier si cela fonctionne sur Ubuntu 11. J'ai réalisé que je venais de le faire sur Ubuntu 12.04 LTS.

Brynn_M · August 20, 2022, 7:06am

Voici les étapes simples:

Installez des certificats d'autorité de certification pour permettre aux applications basées sur SSL de vérifier l'authenticité des connexions SSL:
```
sudo apt-get install ca-certificates
```
Copier le fichier de certificat (crt ou .cer) dans /usr/local/share/ca-certificates/ dossier, p.ex.:
```
sudo cp file.crt /usr/local/share/ca-certificates/
```
Pour le fichier PEM, voir: Convertir .pem à .crt et .clé.

En option, si vous utilisez un proxy, cette commande peut fonctionner:
```
curl -L chls.pro/ssl | sudo tee /usr/local/share/ca-certificates/charles.crt
```
Mettre à jour les certificats:
```
sudo update-ca-certificates
```
La commande se mettra à jour /etc/ssl/certs répertoire pour contenir les certificats SSL et les certificats ca-certificates.crt file (une liste concaténée de certificats dans un seul fichier).

Remarque: N'ajoutez pas de certificats manuellement (comme suggéré ici), car ils ne sont pas persistants et vont être supprimés.

^{Remarque: Si vous exécutez en tant que root, vous pouvez laisser tomber le sudo à partir des commandes ci-dessus.}

Quinn · August 20, 2022, 7:15am

De ici:

Installation du certificat

Vous pouvez installer l'exemple de fichier clé.exemple de fichier de clé et de certificat.crt, ou le fichier de certificat émis par votre autorité de certification, en exécutant les commandes suivantes à une invite de terminal:

sudo cp example.crt /etc/ssl/certssudo cp example.key /etc/ssl/private

Maintenant, configurez simplement toutes les applications, avec la possibilité d'utiliser la cryptographie à clé publique, pour utiliser les fichiers de certificat et de clé. Par exemple, Apache peut fournir HTTPS, Dovecot peut fournir des IMAPS et des POP3, etc.

Addison_P · August 20, 2022, 7:24am

Ajouter un certificat d'autorité de certification racine dans FireFox est désormais très simple. Ouvrez simplement les préférences, allez dans "Confidentialité et sécurité", faites défiler jusqu'à " Certificats "et cliquez sur" Afficher les certificats...". Ici, vous pouvez cliquer sur "Importer un certificat". Pointez sur votre autorité de certification racine (.pem) et OK. C'est tout les gens.

Phoenix_H · August 20, 2022, 7:33am

Si quelqu’un atterrit ici avec un fichier cer au lieu d’un tube cathodique, ce sont les mêmes thing (juste avec une extension différente). Vous devriez pouvoir suivre ces réponses et simplement remplacer le nom du fichier.

Leslie_J · August 20, 2022, 7:41am

N’y a-t-il pas un problème d’UX s’il y a 9 réponses différentes? Ubuntu a - t-il un UserVoice?

Skylar · August 20, 2022, 7:50am

Btw: pour un moyen pratique de obtenir des certificats CA à partir de la ligne de commande, regardez ici, sur serverfault.