我已经在我的 Fedora 系统上生成了根 CA 证书和密钥,使用以下命令:
openssl req -new -x509 -extensions v3_ca -keyout \
/etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365
然后,我生成了一个自签名证书,并用上面的内容对其进行了签名,以供 Apache 使用。我现在想信任我系统上的 CA,但一直无法做到。
我尝试复制cacert.pem并/etc/pki/ca-trust/source/anchors运行 /bin/update-ca-trust,成功了,但在 Chrome 中浏览该网站时,它仍然不受信任。我可以在 Chrome 中手动导入 CA,它可以工作,但我需要一个系统范围的解决方案。有人能帮忙吗?
答案1
我曾在某处读到过,chrome 默认使用系统信任存储,即 /etc/pki/tls/certs,但事实并非如此。Chrome 仅支持从系统范围的 NSS 信任数据库加载证书。
换句话说,chrome 有自己的数据库,并且不了解任何其他信任库。