我对此还很陌生,但过去两天我做了一些互联网研究,但找不到合适的答案。
我已获得一个 ca 证书链(cacertchain.crt),我需要将其导入到运行 RHEL7(无 GUI)的服务器。该服务器具有ca-bundle.crt文件。我曾尝试将cacertchain.crt到/etc/pki/ca-trust/source/anchors/并运行update-ca-trust,update-ca-trust extract但我看不到 ca-bundle.crt 文件有任何变化。
所以我的问题是:有没有办法将 ca 证书链 (.crt) 导入到 RHEL7 密钥库?
证书链(cacertchain.crt)包括:
根证书主题 CN - VeriSign 3 类公共主要认证机构 - G5(我相信这已经在 ca-bundle.crt 中可用)
中级证书主题 CN - Symantec Class 3 EV SSL CA - G3
答案1
我看来,通过包含 ca-cert 包/etc/pki/ca-trust/source/并且运行,update-ca-trust extract工作正常。
答案2
将证书复制到/etc/pki/ca-trust/source/anchors/然后执行update-ca-trust extract。
它们应该可供所有检查该路径中的证书的应用程序使用(例如wget和curl)。
答案3
对于这种情况,我采取了以下 3 个步骤:
- 证书到 /etc/pki/ca-trust/source/anchors/
- 更新 CA 信任强制启用
- 更新 CA 信任提取
答案4
消歧义
我认为给出的答案和评论混淆了两种不同的情况。
根据/etc/pki/ca-trust/source/README:
This directory /etc/pki/ca-trust/source/ contains CA certificates and
trust settings in the PEM file format. The trust settings found here will be
interpreted with a high priority - higher than the ones found in
/usr/share/pki/ca-trust-source/.
=============================================================================
QUICK HELP: To add a certificate in the simple PEM or DER file formats to the
list of CAs trusted on the system:
Copy it to the
/etc/pki/ca-trust/source/anchors/
subdirectory, and run the
update-ca-trust
command.
If your certificate is in the extended BEGIN TRUSTED file format,
then place it into the main source/ directory instead.
=============================================================================
Please refer to the update-ca-trust(8) manual page for additional information.
请注意这一段:
如果您的证书采用扩展的 BEGIN TRUSTED 文件格式,则将其放入主源/目录中。
如果你想安装.crt文件:
复制:
cp extendedcert.crt /etc/pki/ca-trust/source/申请:
update-ca-trust
如果你想安装.cer文件:
复制:
cp simplecert.cer /etc/pki/ca-trust/source/anchors/申请:
update-ca-trust