将内部CA部署到Linux客户端

Modified on: Sun, 28 Jul 2019 20:20:03 +0800

我有大量运行RedHat Enterprise Linux 5和6的工作站。我想将新的内部CA(Active Directory)部署到这些机器上。我可以手动将证书导入Firefox 10而没有任何问题,但我似乎无法找到将.cer文件存储在文件系统中的位置,以便FireFox和Google Chrome使用它。这两种浏览器都使用可信CA的中心位置吗?

如果没有,我会采用更自动化的方式让FireFox接受我的CA.

我试过的东西

  • 使用Mozilla提供的certutil - 但这似乎只涉及客户端证书,除非我弄错了。
  • 修改/etc/pki/tls/ca-bundle.crt包中包含的ca-certificates。 Firefox似乎不尊重此文件。
作者:,Kyle Smith

最佳答案

对于Firefox:FF将证书存储在用户配置文件中,您必须为每个框中的每个配置文件导入证书。对于受信任的CA,证书应采用PEM格式,并使用certutil命令导入(在RedHat上的nss-tools包中提供):

您可以使用此命令列出证书:

certutil -L -d ~/.mozilla/firefox/[profile]

然后,可以使用以下方法导入证书:

certutil -A -n 'Certificate Name' -t CT,, -d ~/.mozilla/firefox/[profile] < /path/to/certificate.pem

请参阅http: //www.dzhang.com/blog/2011/01/29/importing-exporting-firefox-certificates-from-command-line了解详情。

根据铬维基,您可以使用certutil作为铬。我不知道这是否适用于股票铬。

通过一些脚本编写,应该可以在此环境中自动部署AD证书颁发机构。


相关问答

添加新评论