จะติดตั้งใบรับรอง CA ที่กำหนดเองบน CentOS ได้อย่างไร

ฉันกำลังพยายามติดตั้งใบรับรองสำหรับเซิร์ฟเวอร์ใบรับรองภายในของฉันในระบบ CentOS หลายชุดและฉันกำลังค้นหาเอกสารเกี่ยวกับเรื่องนี้ว่าแทบจะไม่มีอยู่จริง

เป้าหมายสุดท้ายของฉันคือการสามารถที่จะใช้git, curlและอื่น ๆ กับเซิร์ฟเวอร์ที่ปลอดภัยภายในไม่มีข้อผิดพลาด

ใน Ubuntu มันง่ายพอคุณโยนใบรับรองลงในโฟลเดอร์และเรียกใช้คำสั่งเพื่อสร้างชุดของลิงก์เพื่อเพิ่มใบรับรอง CA ในเส้นทางการรับรอง

ฉันไม่สามารถใช้ชีวิตของฉันได้ว่าจะทำอย่างไรกับ CentOS .. มีข้อมูลมากมายเกี่ยวกับการเชื่อถือใบรับรองแบบสุ่ม (หากต้องการ: สร้าง symlink ใน/etc/pki/tls/certsไฟล์ใบรับรอง PEM ที่เข้ารหัสซึ่งตั้งชื่อโดยใช้แฮชของใบรับรองไม่ทำงานสำหรับ CA ของฉันเนื่องจากแอปดังกล่าวยังไม่สามารถตรวจสอบใบรับรองที่ลงนามโดย CA)

คุณจะติดตั้ง root CA ใหม่บนระบบ CentOS ได้อย่างไร

ตั้งแต่ CentOS 6+ มีเครื่องมือสำหรับสิ่งนี้ ตามคำแนะนำนี้สามารถติดตั้งใบรับรองได้ก่อนโดยเปิดใช้งานร้านค้า CA ที่ใช้ร่วมกันของระบบ:

update-ca-trust enable

จากนั้นให้วางใบรับรองเพื่อไว้วางใจในฐานะ CA ใน/etc/pki/ca-trust/source/anchors/ลำดับความสำคัญสูง (ไม่สามารถข้ามได้) หรือ/usr/share/pki/ca-trust-source/(ลำดับความสำคัญต่ำกว่า overridable) และสุดท้ายอัปเดตที่เก็บระบบด้วย:

update-ca-trust extract

และอื่น ๆ เครื่องมือระบบจะเชื่อถือใบรับรองเหล่านั้นเมื่อทำการเชื่อมต่อที่ปลอดภัย!

น่าเสียดายที่ฉันไม่คิดว่าจะมีวิธีการรวมศูนย์แบบเดียวใน CentOS ฉันใช้เวลามากในการพยายามทำสิ่งเดียวกัน ที่เก็บใบรับรองหลักของ pki tls ใช้มาก แต่ไม่ใช่ทุกอย่างแน่นอน

โซลูชันของฉันคือการบำรุงรักษาโมดูลหุ่นกระบอกที่จะผลักดันที่เก็บใบรับรองที่อัปเดตไปยังแต่ละตำแหน่งที่ใช้ต่อผลิตภัณฑ์ ตรรกะพื้นฐานคือถ้ามีร้านค้าที่ระบุอยู่แล้วเพิ่มรายการที่กำหนดเองของฉัน

นี่ไม่สมบูรณ์ - อินสแตนซ์ tomcat บางตัวที่ฉันปรับใช้มีการติดตั้ง Java ภายในพร้อมกับไดเรกทอรี cacerts ที่ไม่ได้มาตรฐานสำหรับหนึ่งที่ แต่มันจัดการกับความต้องการส่วนใหญ่ของฉัน