Instalace certifikátů v operačním systému Ubuntu

V minulém článku jsme si vysvětlili, co jsou to certifikáty v Ubuntu a jaké úkoly plní. V tomto článku si povíme, jak certifikáty instalovat, konkrétně jak je instalovat do operačního systému.

Jejich instalace do operačního systému

Pokud chcete pomocí podepsaných certifikátů zapnout podporu HTTPS na webovém serveru, pak otevřete tento web v prohlížeči nebo se na něj zeptáte v příkazovém řádku, systém vám vyhodí chybu SSL.

Bude hlásit, že tento certifikát není důvěryhodný a že připojení k tomuto webu nemusí být bezpečné.

curl -I https://localhost

Aby byl certifikát považován za důvěryhodný, je třeba přidat kořenový certifikát certifikační autority, kterým byl podepsán, do seznamu důvěryhodných certifikátů v operačním systému. Pokud je certifikát podepsán vlastním podpisem, můžete do seznamu důvěryhodných přidat samotný certifikát.

Certifikát ca.crt. již máte, ale jak zařídit, aby jej OS považoval za důvěryhodný? To provedete tak, že jej zkopírujete do složky /usr/local/share/ca-certificates:

cp ./ca.crt /usr/local/share/ca-certificates/losstca.crt

Dále je třeba spustit příkaz:

sudo update-ca-certificates

Poté je třeba ověřit, zda systém rozpozná certifikát jako důvěryhodný, a to spuštěním příkazu curl:

Tato metoda je však vhodná pouze v případě, že programy používají důvěryhodné úložiště certifikátů systému. Prohlížeče (Firefox a Google Chrome) mají vlastní úložiště certifikátů a nepoužívají systémové úložiště. V každém prohlížeči je třeba importovat certifikáty zvlášť.

V opačném případě se zobrazí tato chyba:

Chrome, Firefox a Thunderbird používají ke zpracování certifikátů nssdb. Certifikáty můžete importovat jak v grafickém rozhraní prohlížeče, tak v terminálu pomocí nástroje certutil.