Fedora Server 37 CA 证书存储最相当于 Windows 环境中的 LocalMachine\root?
背景说明:我在 Windows 领域拥有丰富的证书管理经验,但 Fedora Server 对我来说有点陌生。我正在学习 certutil 等体验的细微差别,因为我最近设置并设法使基于 ldap 的登录机制正常运行(通过坚定的意志和决心,许多与 sealert 和 ldap/sssd google 搜索相关的不眠之夜,真的)。我现在想确保我实际上将东西安装在了它们需要去的地方,所以我希望确保我将证书放在它们应该去的地方。
为了适当的长尾,我想为 LocalMachine\my 和 LocalMachine\root、LocalMachine\ca 类型的商店添加一个单独的问题,但我们也可以在这里列出等价物。
目的目标:
- 我已获得 LetsEncrypt 证书。在证书续订时,我希望根据需要将该证书更新到相应的文件夹中,以确保我的签名链对于我所使用的服务保持最新状态,并且希望使用尽可能集中的系统位置。
- 我希望避免必须手动定义在每个服务的配置文件中查找文件的位置,而是允许内置链结构在预期的默认位置自动找到所需的证书。
- 这假设为该发行版构建的所有软件都希望在相同的公共文件夹中找到证书。我知道,这有点牵强。
- 或者,我想对每个证书配置使用相同的位置,而不是使用特定于应用程序的文件夹。
- 我希望需要引用 Let's Encrypt 公共文件的用户也能访问相同的公共证书。
- 删除 /etc/openldap/ldap.conf、/etc/sssd/sssd.conf 等中可能需要通用证书的自定义配置
- 尽可能避免使用 certutil 将文件复制到本地应用程序证书数据库。
鉴于:
- Fedora 服务器 37
- /etc/letsencrypt/live// 中的 LetsEncrypt 证书集合
- 配置 /etc/openldap/ldap.conf
- 大概超出了这个问题的范围,一旦我正确配置了这个帖子,我将创建一个新的帖子
- 配置 /etc/sssd/sssd.conf
- 大概超出了这个问题的范围,一旦我正确配置了这个帖子,我将创建一个新的帖子
我思考我想要的是将以下文件放入以下文件夹中:
- /etc/letsencrypt/live//chain.cert
- Windows 上的等效项:LocalMachine\TrustRoot(中级证书颁发机构)
- 复制到 /etc/pki/CA/certs
- /etc/letsencrypt/live//fullchain.cert
- Windows 上的等效项:LocalMachine\Root(受信任的根证书颁发机构)
- 因为这是 Let's Encrypt,所以 Fedora Server 37 发行版似乎已经有了我在这里需要的根 IG_Root_X1.pem
- 复制到 /etc/pki/ca-trust/source/anchors/
- 复制到 /usr/share/pki/ca-trust-source/anchors/
- 运行
update_ca_trust extract
以允许它将两组证书提取到适当的存储中
restorecon
这里有一些神奇的字符串
问题:
- 我上述的假设正确吗?
- 将任何文件复制到上述位置后,是否需要添加任何命令?
restorecon
复制文件或运行 update_ca_trust 后我需要运行什么命令?- 对于任何要求将证书放在备用位置的应用程序,当我这样做时,在适当的位置建立符号链接是否足够了,或者我可能必须回退到 certutil 到适当的文件夹中?