我有大量运行 RedHat Enterprise Linux 5 和 6 的工作站。我想将我们新的内部 CA(Active Directory)部署到这些机器上。我可以手动将证书导入 Firefox 10,没有任何问题,但我似乎找不到在文件系统上存储 .cer 文件的位置,以便 FireFox 和 Google Chrome 可以使用它。这两种浏览器使用的受信任 CA 是否有一个中心位置?
如果没有的话,我会选择一种更自动化的方式让 FireFox 接受我的 CA。
我尝试过的东西
- 使用 Mozilla 提供的
certutil- 但这似乎只处理客户端证书,除非我弄错了。 - 修改
/etc/pki/tls/ca-bundle.crt包含在ca-certificates包中。Firefox 似乎不支持此文件。
答案1
对于 Firefox:FF 将证书存储在用户配置文件中,您必须在每个框上为每个配置文件导入证书。对于受信任的 CA,证书应为 PEM 格式,并使用以下命令导入certutil(在 RedHat 上的包中可用nss-tools):
您可以使用此命令列出证书:
certutil -L -d ~/.mozilla/firefox/[profile]
然后,可以使用以下命令导入证书:
certutil -A -n 'Certificate Name' -t CT,, -d ~/.mozilla/firefox/[profile] < /path/to/certificate.pem
看http://www.dzhang.com/blog/2011/01/29/importing-exporting-firefox-certificates-from-command-line了解详情。
根据铬维基您可以使用 certutil 来处理 chrome。我不知道这是否也适用于普通的 chrome。
通过编写少量脚本,就可以在此环境中自动部署您的 AD 证书颁发机构。