让 Chrome 信任 Linux 系统证书存储或通过策略选择证书

让 Chrome 信任 Linux 系统证书存储或通过策略选择证书

我需要在许多托管 Linux 桌面上信任自签名证书。我已将它们导入到操作系统的信任库中,curl、wget 等信任它们。

然而,Firefox 和 Chrome (Chromium) 等浏览器使用自己的信任存储。Firefox 有一个使用系统信任存储的选项,但这在 Linux 上无法使用,并在其错误追踪器。但是,仍然可以选择使用企业策略将证书安装到 Firefox 信任存储区。

我也在寻找同样的东西Chromium 政策,但我没有发现任何证据证明有这样的事情存在。

所以我的问题基本上和这个问题相同:如何让Chrome信任Windows系统根CA证书?但在 Linux 上。

如果无法使用操作系统信任库,那么导入选定的证书将是一个很好的解决方法。

答案1

在 Ubuntu 中,Chrome 使用自己的证书存储区,因此您需要在 Chrome 存储区中导入操作系统证书。

使用 GUI,这是通过管理证书在“设置”中。

文章 如何在 Linux 和 Windows 上导入 CA 根证书 包含以下脚本用于将操作系统证书复制到浏览器,您可以根据需要修改(或删除不需要的部分)。

该脚本需要 certutil。如果未安装,请使用 sudo apt install libnss3-tools

这是在 Firefox、Chrome、Chromium、Vivaldy 和其他浏览器中安装根 CA 的脚本。请注意,操作系统商店的未来更新不会自动复制。

#!/bin/bash

### Script installs root.cert.pem to certificate trust store of applications using NSS
### (e.g. Firefox, Thunderbird, Chromium)
### Mozilla uses cert8, Chromium and Chrome use cert9

###
### Requirement: apt install libnss3-tools
###

###
### CA file to install (CUSTOMIZE!)
###

certfile="root.cert.pem"
certname="My Root CA"

###
### For cert8 (legacy - DBM)
###

for certDB in $(find ~/ -name "cert8.db")
do
    certdir=$(dirname ${certDB});
    certutil -A -n "${certname}" -t "TCu,Cu,Tu" -i ${certfile} -d dbm:${certdir}
done

###
### For cert9 (SQL)
###

for certDB in $(find ~/ -name "cert9.db")
do
    certdir=$(dirname ${certDB});
    certutil -A -n "${certname}" -t "TCu,Cu,Tu" -i ${certfile} -d sql:${certdir}
done

答案2

我建议看看 p11-kit(特别是信任模块

这实际上是 libnssckbi(Chrome 和 Firefox 用于其信任存储)的直接替代品。安装后,您只需用 p11 版本替换或符号链接该库即可。

在 Ubuntu(直到 22.04)上,这些是您需要的文件路径:

  • 铬合金:/usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
  • Firefox(.deb,不是 snap/flatpak)/usr/lib/firefox/libnssckbi.so

我已经通过 puppet 部署它大约 5 年了,清单有效地归结为这些 Ubuntu 命令:

apt install -y p11-kit p11-kit-modules
ln -s -f /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
ln -s -f /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so /usr/lib/firefox/libnssckbi.so

一旦这些更改到位,Chrome 和 Firefox 就会像普通应用程序一样运行,只使用系统信任存储(包括任何自定义 CA),而不是使用自己的信任存储。

相关内容