Ubuntuにカスタム認証局を追加します

内部ネットワーク用のカスタムルート認証局、example.comを作成しました。理想的には、この認証局に関連付けられたCA証明書をLinuxクライアント（Ubuntu 9.04およびCentOS 5.3を実行）にデプロイして、すべてのアプリケーションが認証局を自動的に認識するようにしたい（つまり、 Firefox、Thunderbirdなどを手動で設定して、この認証局を信頼するようにします）。

UbuntuでPEMエンコードされたCA証明書を/ etc / ssl / certs /および/ usr / share / ca-certificates /にコピーし、/ etc / ca-certificates.confを変更してupdate- CA証明書、ただし、アプリケーションは、別の信頼できるCAをシステムに追加したことを認識していないようです。

したがって、システムにCA証明書を1回追加することは可能ですか、それともネットワーク内でこのCAによって署名されたホストへのSSL接続を試行する可能性のあるすべてのアプリケーションにCAを手動で追加する必要がありますか？システムにCA証明書を1回追加できる場合、どこに行く必要がありますか？

ありがとう。

つまり、すべてのアプリケーションを単独で更新する必要があります

FirefoxとThunderbirdでさえ証明書を共有しません。

残念ながら、LinuxにはSSL証明書を保管/管理する中心的な場所がありません。Windowsにはこのような場所がありますが、最終的には同じ問題が発生します（Firefox / ThunderbirdはWindows提供のAPIを使用してSSL証明書の有効性を判断しません）

各ホストでpuppet / cfengineなどを使用し、これらのツールが提供するメカニズムですべてのクライアントに必要なルート証明書を配置します。

悲しいことに、firefoxやthunderbirdなどのプログラムは独自のデータベースを使用します。

ただし、すべてのプロファイルを検索するスクリプトを作成してから、証明書を追加できます。証明書を追加するツールは次のとおりです。 。http //www.mozilla.org/projects/security/pki/nss/tools/certutil.html

同様に、デフォルトのcert8.dbファイルを設定できるため、新しいプロファイルでも取得できます。

他のアプリケーションでは、中央ストアをサポートするかどうかの問題です。

指定した方法により、中央の/etc/ssl/certs/ca-certificates.crtが更新されます。ただし、ほとんどのアプリケーションはこのファイルを使用するように構成されていないことがわかります。ほとんどのアプリケーションは、中央のファイルを指すように構成できます。再構成せずにすべてがこのファイルを使用するようにする自動方法はありません。

デフォルトでこのファイルを使用することは、Ubuntu / Debianでバグを報告する価値があるかもしれません。

ubuntuや他のディストリビューションでカスタムPKI CAを追加できます。ここにリンクがあります 。LinuxCert Management