Установка корневого сертификата

Материал из ALT Linux Wiki

Поддержка работы сайтов с российскими сертификатами

Для установки комплекта корневых сертификатов CA России достаточно установить пакет ca-certificates-digital.gov.ru:

# apt-get install ca-certificates-digital.gov.ru

В результате в хранилище доверенных сертификатов должны появиться сертификаты «Russian Trusted Root CA» и «Russian Trusted Sub CA»:

$ trust  list |grep "Russian Trusted" -B 2 -A 2
pkcs11:id=%E1%D1%81%E5%CE%5A%5F%04%AA%D2%E9%B6%9D%66%B1%C5%FA%AC%2C%87;type=cert
    type: certificate
    label: Russian Trusted Root CA
    trust: anchor
    category: authority
--
pkcs11:id=%D1%E1%71%0D%0B%2D%81%4E%6E%8A%4A%8F%4C%23%B3%4C%5E%AB%69%0B;type=cert
    type: certificate
    label: Russian Trusted Sub CA
    trust: anchor
    category: authority

Сертификаты «Russian Trusted Root CA» и «Russian Trusted Sub CA» в Chromium-Gost:

Корневые сертификаты CA России в Chromium-Gost

Примечание: В пакете ca-certificates содержится набор сертификатов X.509 общедоступных центров сертификации (CA).


Установка/удаление корневых сертификатов

Примечание: Место, где размещены корневые доверенные сертификаты в P8 и P7 — это файл /etc/pki/tls/certs/ca-bundle.crt (символьная ссылка на /usr/share/ca-certificates/ca-bundle.crt).


В P10 и P9 для установки корневых сертификатов необходимо поместить файлы сертификатов в /etc/pki/ca-trust/source/anchors/ и обновить общесистемный список доверенных CA:

# cp /home/user/qca2020.crt /etc/pki/ca-trust/source/anchors/ && update-ca-trust

Chromium, Firefox и созданные на их основе веб-браузеры доверяют корневым сертификатам, установленным на уровне системы.

Установленный сертификат в Firefox:

Корневой сертификат в Firefox

Установленный сертификат в Chromium:

Корневой сертификат в Chromium

Удаление сертификата:

# rm -f /etc/pki/ca-trust/source/anchors/qca2020.crt && update-ca-trust