Как добавить сертификат Центра Сертификации (CA) в доверенные в Linux
Добавление доверенные корневые центры сертификации в командной строке.
Суть метода очень проста:
- Добавить свой корневой CA сертификат в папку, предназначенную для таких сертификатов.
- Запустить программу для обновления общесистемного списка сертификатов.
Пути и команды в разных дистрибутивах Linux чуть различаются. Для (Debian, Ubuntu) и их производных.
Просмотреть Subject всех корневых CA сертификатов можно командой:
1
|
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt
|
Для демонстрации я добавлю сертификат с Common Name, включающим «HackWare», тогда для проверки, имеется ли сертификат с таким именем среди корневых CA, я могу использовать команду:
1
|
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep -i HackWare
|
Для добавления своего корневого CA в доверенные в Debian, Kali Linux, Linux Mint, Ubuntu и их производных:
1. Проверьте, существует ли директория /usr/local/share/ca-certificates:
1
|
ls -l /usr/local/share/ca-certificates
|
Если её ещё нет, то создайте:
1
|
sudo mkdir /usr/local/share/ca-certificates
|
Сертификат должен быть в формате PEM (обычно так и есть) и иметь расширение .crt — если расширение вашего сертификата .pem, то достаточно просто поменять на .crt.
2. Скопируйте ваш сертификат командой вида:
1
|
sudo cp СЕРТИФИКАТ.crt /usr/local/share/ca-certificates/
|
3. Запустите следующую команду для обновления общесистемного списка:
1
|
sudo update-ca-certificates
|
Пример вывода:
1
|
Updating certificates in /etc/ssl/certs...1 added, 0 removed; done.Running hooks in /etc/ca-certificates/update.d... Adding debian:HackWareCA.pemdone.done.
|
Либо запустить добавление в интерактивном режиме
1
|
dpkg-reconfigure ca-certificates
|
Проверим наличие нашего CA сертификата среди доверенных:
1
|
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep -i HackWare
|
Сертификат успешно найден:

Чтобы его удалить:
1
2
|
sudo rm /usr/local/share/ca-certificates/СЕРТИФИКАТ.crt
sudo update-ca-certificates
|
Для добавления своего корневого CA в доверенные в Arch Linux, BlackArch и их производных:
1. Выполните команду вида:
1
|
sudo cp ./СЕРТИФИКАТ.crt /etc/ca-certificates/trust-source/anchors/
|
2. Обновите общесистемный список доверенных CA:
1
|
sudo update-ca-trust
|
Чтобы удалить этот сертификат:
1
2
|
sudo rm /etc/ca-certificates/trust-source/anchors/СЕРТИФИКАТ.crt
sudo update-ca-trust
|