我们有一个私有证书颁发机构 (CA),仅在我们的 Intranet 站点上使用。
我可以轻松获得证书:
openssl s_client -showcerts -connect atlas.sim.local:8443 </dev/null 2>/dev/null|openssl x509 -outform PEM >atlas.crt
我希望我的 Debian 设备自动信任此证书颁发机构。我有私人apt存储库,并且我的所有 debian 设备都安装了此存储库中的软件包。因此,我希望将此*.crt文件部署到此包中。
该包将有效地做到这一点:
install -Dm644 atlas.crt /usr/share/ca-certificates/sim.local/atlas.crt
但是,部署此文件后如何重新生成 ca 证书?我正在寻找要部署的文件或可以在其中运行的行postinst。
我的第一个想法很简单:
/usr/sbin/update-ca-certificates
但man update-ca-certificates说:
update-ca-certificates是一个更新目录/etc/ssl/certs以保存 SSL 证书并生成ca-certificates.crt...的程序它读取文件
/etc/ca-certificates.conf。每行给出了/usr/share/ca-certificates应信任的CA 证书的路径名。
为此,我需要确保sim.local/atlas.crt位于/etc/ca-certificates.conf.不幸的是,没有/etc/ca-certificates.conf.d/任何东西可以让我插入包含该内容的另一个文件。
如果我读/etc/ca-certificates.conf,它说:
# This file lists certificates that you wish to use or to ignore to be
# installed in /etc/ssl/certs.
# update-ca-certificates(8) will update /etc/ssl/certs by reading this file.
#
# This is autogenerated by dpkg-reconfigure ca-certificates.
因此,我可以尝试:
dpkg-reconfigure ca-certificates
但这会导致出现一个交互式对话框,默认情况下取消选择我的证书。我宁愿这是非交互式的。
这是我现在的postinst。但我不确定这是否是正确的解决方案。有正确的方法吗?
#!/bin/bash
set -e
case "$1" in
configure)
if [ -e /etc/ca-certificates.conf ] &&
! grep -q sim.local/atlas.crt /etc/ca-certificates.conf; then
printf "%s\n" sim.local/atlas.crt >> /etc/ca-certificates.conf;
/usr/sbin/update-ca-certificates;
fi
;;
esac
答案1
来自同一手册页:
此外,在 /usr/local/share/ca-certificates 下找到的所有具有 .crt 扩展名的证书也包含为隐式信任。
这意味着您不需要运行dpkg-reconfigure - 只需将.crt文件放入/usr/local/share/ca-certificates,运行updates-ca-certificates即可完成。
答案2
为此,我需要确保
sim.local/atlas.crt位于/etc/ca-certificates.conf.不幸的是,没有/etc/ca-certificates.conf.d/任何东西可以让我插入包含该内容的另一个文件。
然后在末尾/etc/ca-certificates.conf手动添加您的 CRT:
echo sim.local/atlas.crt >> /etc/ca-certificates.conf
最后,打电话update-ca-certificates。
因此,我可以尝试:
dpkg-reconfigure ca-certificates但这会导致出现一个交互式对话框,默认情况下取消选择我的证书。我宁愿这是非交互式的。
如果您将问题的优先级设置为“高”或更高(“关键”),则不会:
dpkg-reconfigure -phigh ca-certificates
不管怎样,我相信你应该调用update-ca-certificates,而不是dpkg-reconfigure-ing 另一个包。
答案3
最后,最简单的解决方案是从公共 CA 购买证书。这也比花费更多时间解决这个问题更便宜。
通用名称 (CN) 可以包含通配符,因此我购买了带有 的证书CN=*.mycompany.com,并将服务器的 FQDN 从 更改atlas.sim.local为atlas.mycompany.com。
此外,相同的证书可以用于我们所有的 Intranet 服务,因为我们将所有计算机迁移到*.mycompany.com.
这适用于所有应用程序(甚至是具有自己的根 CA 列表的 Firefox 和 Chromium)以及所有操作系统。
我想我们可以将问题转移到 ServerFault,因为答案最终不是特定于 Unix 的。