CA 설치
PEM 형식의 인증서 (이 형식 복사 ----BEGIN CERTIFICATE----
로에를) /usr/local/share/ca-certificates
과 함께 이름을 .crt
파일 확장자.
그런 다음를 실행하십시오 sudo update-ca-certificates
.
주의 사항 : 이 설치는 이 인증서 저장소를 사용하는 제품에만 영향을줍니다. 일부 제품은 다른 인증서 저장소를 사용할 수 있습니다. 해당 제품을 사용하는 경우이 CA 인증서를 다른 인증서 저장소에도 추가해야합니다. ( Firefox 지침 , Chrome 지침 , Java 지침 )
CA 테스트
방금 추가 한 인증서 /etc/ssl/certs/ca-certificates.crt
(신뢰할 수있는 모든 CA가 함께 연결된 긴 목록)를 찾아서 이것이 작동했는지 확인할 수 있습니다 .
방금 설치 한 CA에서 서명 한 인증서를 사용하고있는 서버에 연결하여 OpenSSL의 s_client를 사용할 수도 있습니다.
$ openssl s_client -connect foo.whatever.com:443 -CApath /etc/ssl/certs
CONNECTED(00000003)
depth=1 C = US, ST = Virginia, O = "Whatever, Inc.", CN = whatever.com, emailAddress = admin@whatever.com
verify return:1
depth=0 C = US, ST = Virginia, L = Arlington, O = "Whatever, Inc.", CN = foo.whatever.com
verify return:1
---
Certificate chain
0 s:/C=US/ST=Virginia/L=Arlington/O=Whatever, Inc./CN=foo.whatever.com
i:/C=US/ST=Virginia/O=Whatever, Inc./CN=whatever.com/emailAddress=admin@whatever.com
... snip lots of output ...
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1392837700
Timeout : 300 (sec)
Verify return code: 0 (ok)
가장 먼저 찾아야 할 것은 출력 상단 근처의 인증서 체인입니다. CA를 발급자로 표시해야합니다 (옆에 i:
). 이것은 서버가 설치하려는 CA가 서명 한 인증서를 제시하고 있음을 나타냅니다.
둘째, verify return code
끝이로 설정되어 있는지 확인하십시오 0 (ok)
.