จากคำตอบของ dwmw2 คุณสามารถบอกแอปพลิเคชันที่ใช้ NSS สำหรับการจัดการใบรับรองเพื่อใช้ที่เก็บระบบที่เชื่อถือได้
libnss3
โดยค่าเริ่มต้นจะจัดส่งพร้อมกับชุดใบรับรอง root CA แบบอ่านอย่างเดียว ( libnssckbi.so
) ดังนั้นเวลาส่วนใหญ่ที่คุณต้องเพิ่มด้วยตนเองนั้นไปยังร้านค้าที่เชื่อถือได้ของผู้ใช้ใน$HOME/.pki/nssdb
พื้นที่ p11-kit
มีดรอปแทนสำหรับที่ทำหน้าที่เป็นอะแดปเตอร์ใบรับรองหลักทั้งระบบที่ติดตั้งในlibnssckbi.so
/etc/ssl/certs
แก้ไข:
ดูเหมือนจะมีรุ่นอื่น ๆlibnssckbi.so
มากกว่าที่จะlibnss3
มา ต่อไปนี้เป็นสคริปต์เพื่อค้นหาทั้งหมดสำรองข้อมูลและแทนที่ด้วยลิงก์ไปยังp11-kit
:
sudo apt-get update && sudo apt-get install -y p11-kit libnss3
find / -type f -name "libnssckbi.so" 2>/dev/null | while read line; do
sudo mv $line ${line}.bak
sudo ln -s /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so $line
done
คำแนะนำเดิม:
หากต้องการทำสิ่งนี้ให้ติดตั้งp11-kit
และlibnss3
(หากยังไม่ได้ติดตั้งไว้):
sudo apt-get update && sudo apt-get install -y p11-kit libnss3
จากนั้นสำรองข้อมูลที่มีอยู่libnssckbi.so
โดยlibnss3
:
sudo mv /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so.bak
สุดท้ายสร้างลิงก์สัญลักษณ์:
sudo ln -s /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
เพื่อยืนยันว่าใช้งานได้คุณสามารถเรียกใช้ll /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
และควรแสดงลิงก์:
lrwxrwxrwx 1 root root 49 Apr 9 20:28 /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so -> /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so
ตอนนี้หากคุณเพิ่มใบรับรองไปยังร้านค้า CA ที่ใช้update-ca-certificates
อยู่ใบรับรองเหล่านี้จะพร้อมใช้งานสำหรับแอปพลิเคชันที่ใช้ NSS ( libnss3
) เช่น Chrome