如何在 CentOS 7 中添加证书颁发机构文件

How to add Certificate Authority file in CentOS 7

我正在尝试将证书颁发机构 (CA) 文件名 - ca.crt 添加到 /etc/ssl/certs,为此我遵循了 this article.

我将 ca.crt 文件复制到 /etc/pki/ca-trust/source/anchors/ 和 运行 下面的命令;

update-ca-trust extract

之后我检查了 /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt 文件,但没有找到我的 CA。

我无法弄清楚可能是什么问题。

我做错了什么,我该如何解决?

在里面复制你的证书

/etc/pki/ca-trust/source/anchors/

然后运行下面的命令

update-ca-trust

找到 *.pem 文件并将其放入 anchors 子目录,或者只是 link 将 *.pem 文件放到那里。

yum install -y ca-certificates
update-ca-trust force-enable
sudo ln -s /etc/ssl/your-cert.pem /etc/pki/ca-trust/source/anchors/your-cert.pem
update-ca-trust

您的 CA 文件必须是二进制 X.509 格式而不是 Base64 编码;它需要是常规 DER 或 PEM 才能成功添加到您服务器上的受信任 CA 列表中。

要继续,请将您的 CA 文件放入您的 /usr/share/pki/ca-trust-source/anchors/ 目录,然后 运行 下面的命令行(根据您的设置,您可能需要 sudo 权限);

# CentOS 7, Red Hat 7, Oracle Linux 7
update-ca-trust

请注意,与 /etc/pki/ca-trust/source/anchors/ 目录下可能采用扩展 BEGIN TRUSTED 文件格式的设置相比,/usr/share/pki/ca-trust-source/anchors/ 目录中可用的所有信任设置的解释优先级较低。

对于 Ubuntu 和 Debian 系统,/usr/local/share/ca-certificates/ 是首选目录。

因此,您需要将您的 CA 文件放在 /usr/local/share/ca-certificates/ 目录中,然后通过 运行ning 更新受信任的 CA,在需要的地方使用 sudo 权限,下面的命令行;

update-ca-certificates

快速帮助 1:将简单 PEM 或 DER 文件格式的证书添加到系统信任的 CA 列表中:

  • 将其作为新文件添加到目录 /etc/pki/ca-trust/source/anchors/

  • 运行 更新 ca 信任提取物

快速帮助 2:如果您的证书是扩展 BEGIN TRUSTED 文件格式(可能包含 distrust/blacklist 信任标志,或用于非 TLS 用途的信任标志),则:

  • 将其作为新文件添加到目录 /etc/pki/ca-trust/source/
  • 运行 更新 ca 信任提取物

更多详细信息请参阅man update-ca-trust

也许聚会迟到了,但就我而言,它是 RHEL 6.8:

将主机发布的certificate.crt复制到:

/etc/pki/ca-trust/source/anchors/

然后:

update-ca-trust force-enable (ignore not found warnings)
update-ca-trust extract

希望对您有所帮助

完整说明如下:

  1. 从 PFX 中提取私钥

openssl pkcs12 -in myfile.pfx -nocerts -out private-key.pem -nodes

  1. 从 PFX 中提取证书

openssl pkcs12 -in myfile.pfx -nokeys -out certificate.pem

  1. 安装证书

yum install -y ca-certificates

cp your-cert.pem /etc/pki/ca-trust/source/anchors/your-cert.pem ,

update-ca-trust ,

update-ca-trust force-enable

希望对你有用