我需要在许多托管 Linux 桌面上信任自签名证书。我已将它们导入到操作系统的信任库中,curl、wget 等信任它们。
然而,Firefox 和 Chrome (Chromium) 等浏览器使用自己的信任存储。Firefox 有一个使用系统信任存储的选项,但这在 Linux 上无法使用,并在其错误追踪器。但是,仍然可以选择使用企业策略将证书安装到 Firefox 信任存储区。
我也在寻找同样的东西Chromium 政策,但我没有发现任何证据证明有这样的事情存在。
所以我的问题基本上和这个问题相同:如何让Chrome信任Windows系统根CA证书?但在 Linux 上。
如果无法使用操作系统信任库,那么导入选定的证书将是一个很好的解决方法。
答案1
在 Ubuntu 中,Chrome 使用自己的证书存储区,因此您需要在 Chrome 存储区中导入操作系统证书。
使用 GUI,这是通过管理证书在“设置”中。
文章 如何在 Linux 和 Windows 上导入 CA 根证书 包含以下脚本用于将操作系统证书复制到浏览器,您可以根据需要修改(或删除不需要的部分)。
该脚本需要 certutil。如果未安装,请使用
sudo apt install libnss3-tools。
这是在 Firefox、Chrome、Chromium、Vivaldy 和其他浏览器中安装根 CA 的脚本。请注意,操作系统商店的未来更新不会自动复制。
#!/bin/bash
### Script installs root.cert.pem to certificate trust store of applications using NSS
### (e.g. Firefox, Thunderbird, Chromium)
### Mozilla uses cert8, Chromium and Chrome use cert9
###
### Requirement: apt install libnss3-tools
###
###
### CA file to install (CUSTOMIZE!)
###
certfile="root.cert.pem"
certname="My Root CA"
###
### For cert8 (legacy - DBM)
###
for certDB in $(find ~/ -name "cert8.db")
do
certdir=$(dirname ${certDB});
certutil -A -n "${certname}" -t "TCu,Cu,Tu" -i ${certfile} -d dbm:${certdir}
done
###
### For cert9 (SQL)
###
for certDB in $(find ~/ -name "cert9.db")
do
certdir=$(dirname ${certDB});
certutil -A -n "${certname}" -t "TCu,Cu,Tu" -i ${certfile} -d sql:${certdir}
done
答案2
我建议看看 p11-kit(特别是信任模块)
这实际上是 libnssckbi(Chrome 和 Firefox 用于其信任存储)的直接替代品。安装后,您只需用 p11 版本替换或符号链接该库即可。
在 Ubuntu(直到 22.04)上,这些是您需要的文件路径:
- 铬合金:
/usr/lib/x86_64-linux-gnu/nss/libnssckbi.so - Firefox(.deb,不是 snap/flatpak)
/usr/lib/firefox/libnssckbi.so
我已经通过 puppet 部署它大约 5 年了,清单有效地归结为这些 Ubuntu 命令:
apt install -y p11-kit p11-kit-modules
ln -s -f /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
ln -s -f /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so /usr/lib/firefox/libnssckbi.so
一旦这些更改到位,Chrome 和 Firefox 就会像普通应用程序一样运行,只使用系统信任存储(包括任何自定义 CA),而不是使用自己的信任存储。