將內部 CA 部署到 linux 客戶端

我有大量執行 RedHat Enterprise Linux 5 和 6 的工作站。我想將我們新的內部 CA（Active Directory）部署到這些機器上。我可以毫無問題地將證書手動導入 Firefox 10，但我似乎無法找到在文件系統上儲存 .cer 文件的位置，以便 FireFox 和 Google Chrome 使用它。這兩種瀏覽器都使用受信任的 CA 的中心位置嗎？

如果沒有，我會選擇一種更自動化的方式讓 FireFox 接受我的 CA。

我試過的東西

• 使用 Mozilla 提供的certutil- 但這似乎只處理客戶端證書，除非我弄錯了。
• 修改/etc/pki/tls/ca-bundle.crt包含在ca-certificates包中。Firefox 似乎不支持此文件。

對於 Firefox：FF 將證書儲存在使用者配置文件中，您必須為每個框上的每個配置文件導入證書。對於受信任的 CA，證書應為 PEM 格式，並使用以下certutil命令導入（nss-tools在 RedHat 的包中提供）：

您可以使用此命令列出證書：

certutil -L -d ~/.mozilla/firefox/[profile]

然後，可以使用以下方式導入證書：

certutil -A -n 'Certificate Name' -t CT,, -d ~/.mozilla/firefox/[profile] < /path/to/certificate.pem

有關詳細資訊，請參閱http://www.dzhang.com/blog/2011/01/29/importing-exporting-firefox-certificates-from-command-line。

根據鉻 wiki，您可以將 certutil 用於鉻。我不知道這是否也適用於庫存鉻。

只需編寫一點腳本，就可以在此環境中自動部署您的 AD 證書頒發機構。

引用自：https://serverfault.com/questions/386766