Redhat

將內部 CA 部署到 linux 客戶端

  • May 11, 2012

我有大量執行 RedHat Enterprise Linux 5 和 6 的工作站。我想將我們新的內部 CA(Active Directory)部署到這些機器上。我可以毫無問題地將證書手動導入 Firefox 10,但我似乎無法找到在文件系統上儲存 .cer 文件的位置,以便 FireFox 和 Google Chrome 使用它。這兩種瀏覽器都使用受信任的 CA 的中心位置嗎?

如果沒有,我會選擇一種更自動化的方式讓 FireFox 接受我的 CA。

我試過的東西

  • 使用 Mozilla 提供的certutil- 但這似乎只處理客戶端證書,除非我弄錯了。
  • 修改/etc/pki/tls/ca-bundle.crt包含在ca-certificates包中。Firefox 似乎不支持此文件。

對於 Firefox:FF 將證書儲存在使用者配置文件中,您必須為每個框上的每個配置文件導入證書。對於受信任的 CA,證書應為 PEM 格式,並使用以下certutil命令導入(nss-tools在 RedHat 的包中提供):

您可以使用此命令列出證書:

certutil -L -d ~/.mozilla/firefox/[profile]

然後,可以使用以下方式導入證書:

certutil -A -n 'Certificate Name' -t CT,, -d ~/.mozilla/firefox/[profile] < /path/to/certificate.pem

有關詳細資訊,請參閱http://www.dzhang.com/blog/2011/01/29/importing-exporting-firefox-certificates-from-command-line

根據鉻 wiki,您可以將 certutil 用於鉻。我不知道這是否也適用於庫存鉻。

只需編寫一點腳本,就可以在此環境中自動部署您的 AD 證書頒發機構。

引用自:https://serverfault.com/questions/386766