一連のCentOSシステムに内部証明書サーバー用の証明書をインストールしようとしていますが、このドキュメントはほとんど存在していません。
私の最終目標は、使用できるようにすることですgit、curlエラーなしで内部のセキュアサーバーに対して、そして他の人を。
Ubuntuでは、非常に簡単です。証明書をフォルダーに入れ、コマンドを実行して一連のリンクを生成し、CA証明書を証明書パスに追加します。
CentOSでこれを行う方法を知ることはできません。ランダムな証明書を信頼するための情報はたくさんあります。(つまり/etc/pki/tls/certs、証明書のハッシュで名前が付けられたPEMエンコードされた証明書ファイルへのシンボリックリンクを作成します。前述のアプリはまだCAによって署名された証明書を検証できないため、CAで機能しませんでした)。
CentOSシステムに新しいルートCAをインストールするにはどうすればよいですか?
回答:
CentOS 6以降では、このためのツールがあります。ごとに、このガイド、証明書が最初にシステムを可能にすることによってインストールされているCAストアを共有することができます。
update-ca-trust enable
次に、CAとして信頼する証明書を/etc/pki/ca-trust/source/anchors/優先度の高い(上書き不可)、または/usr/share/pki/ca-trust-source/(優先度の低い、上書き可能)に配置し、最終的に次のようにシステムストアを更新します。
update-ca-trust extract
出来上がり、システムツールは安全な接続を行うときにこれらの証明書を信頼するようになりました!
残念ながら、CentOSでこれを行う単一の集中化された方法はないと思います。私は同じことを達成しようとしてかなりの時間を費やしました。プライマリpki tls証明書ストアは多くの場合に使用されますが、すべてではありません。
私の解決策は、更新された証明書ストアを製品ごとに使用される各場所にプッシュするパペットモジュールを維持することです。基本的なロジックは、特定のストアが存在する場合、カスタムエントリを追加することです。
これは完全ではありません-私がデプロイする一部のTomcatインスタンスには、1つの非標準cacertsディレクトリを持つ内部Javaインストールがありますが、それは私のニーズのほとんどを処理します。