Linux 클라이언트에 내부 CA 배포


8

RedHat Enterprise Linux 5 및 6을 실행하는 워크 스테이션이 많이 있습니다. 새 내부 CA (Active Directory)를이 시스템에 배포하고 싶습니다. 문제없이 인증서를 Firefox 10으로 수동으로 가져올 수 있지만 파일 시스템에서 .cer 파일을 저장할 위치를 찾을 수 없어 FireFox 및 Chrome에서 사용할 수 있습니다. 이 두 브라우저에서 모두 사용하는 신뢰할 수있는 CA의 중앙 위치가 있습니까?

그렇지 않다면 FireFox가 내 CA를 수락하도록보다 자동화 된 방법을 결정했습니다.

내가 해본 것들

  • Mozilla에서 제공하는 사용 certutil-실수하지 않는 한 클라이언트 측 인증서 만 처리하는 것으로 보입니다.
  • 패키지에 /etc/pki/tls/ca-bundle.crt포함 된 수정 ca-certificates. Firefox가이 파일을 존중하지 않는 것 같습니다.

직접 사용하지는 않았지만 Firefox에는 certutil( mozilla.org/projects/security/pki/nss/tools/certutil.html ) 이라는 도구가 포함되어 있습니다. 최소한 Firefox에서는 필요한 것을 할 수 있다고 생각합니다.
Kenny Rasschaert

초기 파킹에서 NSS DB에는 CA가 아니라 클라이언트 측 인증서가 포함되어있는 것처럼 보입니다.
Kyle Smith

답변:


3

Firefox의 경우 : FF는 인증서를 사용자 프로파일에 저장하므로 각 상자의 각 프로파일에 대한 인증서를 가져와야합니다. 신뢰할 수있는 CA의 경우 인증서는 PEM 형식이어야하며 certutil명령을 사용하여 가져와야합니다 ( nss-toolsRedHat의 패키지에서 사용 가능 ).

이 명령을 사용하여 인증서를 나열 할 수 있습니다.

certutil -L -d ~/.mozilla/firefox/[profile]

그런 다음 다음을 사용하여 인증서를 가져올 수 있습니다.

certutil -A -n 'Certificate Name' -t CT,, -d ~/.mozilla/firefox/[profile] < /path/to/certificate.pem

자세한 내용은 http://www.dzhang.com/blog/2011/01/29/importing-exporting-firefox-certificates-from-command-line 을 참조하십시오.

크롬 위키 에 따르면 certutil을 크롬에 사용할 수 있습니다. 이것이 재고 크롬에서도 작동하는지 모르겠습니다.

약간의 스크립팅을 사용하면이 환경에서 AD 인증 기관을 자동으로 배포 할 수 있습니다.


이 답변에 감사드립니다. 매우 유망합니다. 여분의 순간이있는 즉시 테스트하고 밝은 녹색 확인 표시를 드리겠습니다.
Kyle Smith

올바른 방향으로 나를 가리켜 주셔서 감사합니다. 같은데 pk12util및 PKCS12 형식의 인증서는 클라이언트 측 인증에 있지만,이 날보고 시작할 수 못했다 certutil는 CA의 신뢰를 수정할 수있다. 궁금한 점이 있으면 추가 정보로 답변을 편집하겠습니다.
Kyle Smith
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.