Установка корневого сертификата: различия между версиями

Материал из ALT Linux Wiki
(Новая страница: «{{Stub}} =Системные настройки= Для установки корневых сертификатов, необходимо поместить ф…»)
 
Нет описания правки
 
(не показано 8 промежуточных версий 3 участников)
Строка 1: Строка 1:
{{Stub}}
== Поддержка работы сайтов с российскими сертификатами ==
=Системные настройки=


Для установки корневых сертификатов, необходимо поместить файлы сертификатов в /etc/pki/ca-trust/source/anchors/ и обновить общесистемный список доверенных CA:
Для установки комплекта корневых сертификатов CA России достаточно установить пакет {{pkg|ca-certificates-digital.gov.ru}}:
<source lang="text" highlight="1-2"># cp /home/user/qca2020.crt /etc/pki/ca-trust/source/anchors/
<syntaxhighlight lang="bash"># apt-get install ca-certificates-digital.gov.ru</syntaxhighlight>
# update-ca-trust
</source>


В результате в хранилище доверенных сертификатов должны появиться сертификаты «Russian Trusted Root CA» и «Russian Trusted Sub CA»:
<syntaxhighlight lang="bash">$ trust  list |grep "Russian Trusted" -B 2 -A 2
pkcs11:id=%E1%D1%81%E5%CE%5A%5F%04%AA%D2%E9%B6%9D%66%B1%C5%FA%AC%2C%87;type=cert
    type: certificate
    label: Russian Trusted Root CA
    trust: anchor
    category: authority
--
pkcs11:id=%D1%E1%71%0D%0B%2D%81%4E%6E%8A%4A%8F%4C%23%B3%4C%5E%AB%69%0B;type=cert
    type: certificate
    label: Russian Trusted Sub CA
    trust: anchor
    category: authority</syntaxhighlight>
Сертификаты «Russian Trusted Root CA» и «Russian Trusted Sub CA» в Chromium-Gost:
[[Файл:Chromim_Russian_CA.png|Корневые сертификаты CA России в Chromium-Gost]]
{{Note|В пакете {{pkg|ca-certificates}} содержится набор сертификатов X.509 общедоступных центров сертификации (CA).}}
== Установка/удаление корневых сертификатов ==
{{Note|Место, где размещены корневые доверенные сертификаты в [[P8]] и [[P7]] — это файл {{path|/etc/pki/tls/certs/ca-bundle.crt}} (символьная ссылка на {{path|/usr/share/ca-certificates/ca-bundle.crt}}).}}
В [[P10]] и [[P9]] для установки корневых сертификатов необходимо поместить файлы сертификатов в {{path|/etc/pki/ca-trust/source/anchors/}} и обновить общесистемный список доверенных CA:
<syntaxhighlight lang="bash"># cp /home/user/qca2020.crt /etc/pki/ca-trust/source/anchors/ && update-ca-trust</syntaxhighlight>
Chromium, Firefox и созданные на их основе веб-браузеры доверяют корневым сертификатам, установленным на уровне системы.
Chromium, Firefox и созданные на их основе веб-браузеры доверяют корневым сертификатам, установленным на уровне системы.


Строка 18: Строка 42:


Удаление сертификата:
Удаление сертификата:
<source lang="text" highlight="1-2"># rm /etc/pki/ca-trust/source/anchors/qca2020.crt
 
# update-ca-trust
<syntaxhighlight lang="bash"># rm -f /etc/pki/ca-trust/source/anchors/qca2020.crt && update-ca-trust</syntaxhighlight>
</source>


[[Категория:HOWTO]]
[[Категория:HOWTO]]
{{Category navigation|title=HOWTO|category=HOWTO|sortkey={{SUBPAGENAME}}}}
{{Category navigation|title=HOWTO|category=HOWTO|sortkey={{SUBPAGENAME}}}}

Текущая версия от 13:44, 14 июня 2023

Поддержка работы сайтов с российскими сертификатами

Для установки комплекта корневых сертификатов CA России достаточно установить пакет ca-certificates-digital.gov.ru: 

# apt-get install ca-certificates-digital.gov.ru

В результате в хранилище доверенных сертификатов должны появиться сертификаты «Russian Trusted Root CA» и «Russian Trusted Sub CA»: 

$ trust  list |grep "Russian Trusted" -B 2 -A 2
pkcs11:id=%E1%D1%81%E5%CE%5A%5F%04%AA%D2%E9%B6%9D%66%B1%C5%FA%AC%2C%87;type=cert
    type: certificate
    label: Russian Trusted Root CA
    trust: anchor
    category: authority
--
pkcs11:id=%D1%E1%71%0D%0B%2D%81%4E%6E%8A%4A%8F%4C%23%B3%4C%5E%AB%69%0B;type=cert
    type: certificate
    label: Russian Trusted Sub CA
    trust: anchor
    category: authority

Сертификаты «Russian Trusted Root CA» и «Russian Trusted Sub CA» в Chromium-Gost:

Корневые сертификаты CA России в Chromium-Gost

Примечание: В пакете ca-certificates содержится набор сертификатов X.509 общедоступных центров сертификации (CA).


Установка/удаление корневых сертификатов

Примечание: Место, где размещены корневые доверенные сертификаты в P8 и P7 — это файл /etc/pki/tls/certs/ca-bundle.crt (символьная ссылка на /usr/share/ca-certificates/ca-bundle.crt).


В P10 и P9 для установки корневых сертификатов необходимо поместить файлы сертификатов в /etc/pki/ca-trust/source/anchors/ и обновить общесистемный список доверенных CA: 

# cp /home/user/qca2020.crt /etc/pki/ca-trust/source/anchors/ && update-ca-trust

Chromium, Firefox и созданные на их основе веб-браузеры доверяют корневым сертификатам, установленным на уровне системы.

Установленный сертификат в Firefox:

Корневой сертификат в Firefox

Установленный сертификат в Chromium:

Корневой сертификат в Chromium

Удаление сертификата: 

# rm -f /etc/pki/ca-trust/source/anchors/qca2020.crt && update-ca-trust
HOWTO
32й-OpenGL на 64x • 389-ds • ActiveDirectory/DC • ActiveDirectory/FileShare • ActiveDirectory/Squid • Adobe Flash • AHCI • Участник:Alehander/Монтирование каталогов • Android-devel • Apache Kafka • Appimage • Arepo In Hasher • Asciidoc • Autoinstall • BugTracking/BugzillaMiniHowto • CDEmu и все-все-все • Chroot • Clamav • PostgreSQL/Cluster • Cpufreq • CreateMdRAID1onLiveSystem • CUDA • Cлайд-шоу фоновых рисунков рабочего стола • D Programming Language • DB2 • Dconf • Tools/Distribute • DPMS • DualBoot в картинках • DualBoot в картинках new • X11/DualSeat • Dynflow • Ed • EDID • ElasticSearch • EnterpriseWine • Epic games • Etckeeper • EterTips • Fail2ban • Fdisk • FFmpeg • Fleet Commander • Folding@Home • FreeIPA • FreePascal HOWTO • FreeRADIUS • FreeRADIUS и корпоративный WiFi • Giter • GoogleTalkPlugin • Hasher/parallel • Hitachi StarBoard • Incoming/HOWTO • I2p • IconsPackaging • IPTV • ITalc • Участник:IvanZakharyaschev/Что делать, если забыл имена пользователей • Участник:IvanZakharyaschev/Что делать, если забыл пароли (в т.ч. пароль root-а) • Участник:IvanZakharyaschev/Что делать, если затёр загрузчик системы • JaCarta • JaCarta/PKI • Java-applet • Java/OracleSDK/Install • JavaPlugin • JeOS VM noDHCP • KVM/Helper • LAME • ActiveDirectory/Login • PVE/LXC • Mailman and lighttpd • DotFiles/Shells/MC • Участник:MichaelShigorin/ПодсуньТарбол • Microsoft Access • MIDI • Minecraft • MsgToEml • MultiSeat systemd • Multistation • NetInstall • NetworkDevicesName • Nextcloud • NTFS • NTFS readonly • Numlock • OpenMeetings • Otrs • OwnCloud9 • Pam mount • Pcsxr • PepperFlash в Chromium • Perfect Desktop • Pidgin • Pipelight • Pipx • Dovecot/Plugins • PostgreSQL • Prelink • PstToMbox • Puppet • Puppetserver • PyVFS • Rdesktop keymap fix • Recoll • Replace disk online • Rescue manuals • Rescue/Launcher • Rescue/Recovery • Ricoh SP 100 • Roundcube • Ruby Packaging mini-HOWTO • Rujel • Rujel HOWTO • RunaWFE • SambaADClient и клонирование диска • SAP GUI for Java • SCOM • Shared Library Symbol Versioning HOWTO • SharedFolderHowTo • Smart Proxy • Smart proxy dynflow-core • Socket race conditions • SOGo • OpenOffice.org/SSL-сертификат • SSSD/AD • Swap • Synaptic • Task • Telegram • Telegram Desktop • Thunderbird • Tips • TLP • Unity • LTSP/UpstreamMigration • USBIP • Veyon • Viber • Video streaming vlc • VipNet Client • ViPNet Coordinator/СПТ7 • VirtualBox • Vk play • VNC • VPN c динамической маршрутизацией (GRE Racoon OSPF) • Waydroid • WebDav • Wi-fi • Wicd • WINE • Xbox геймпад • XCAT • Xfce/Ограничения • Автологин с блокировкой сеанса • Автоматический вход • Виртуальная клавиатура в ALT Workstation • Виртуальная флешка • Включение TRIM на (внешнем) SSD • Воссоздание пользователя на отдельном home-разделе • Восстановление • Где и как искать программы • ГОСТ в Caja • ГОСТ в OpenSSL • Гостевой сеанс • Двухфакторная аутентификация Google Authenticator • Диагностика оборудования и системы • ЕАВИИАС • ЕСПД • Загрузочная USB Flash • Загрузочные флешки • Запуск typo3 • Заставка - слайд-шоу • Зеркала • Инструкция по разворачиванию girar-builder • Как Ваш компьютер может дать доступ к себе через туннель средствами ssh, autossh, autosshd • Участник:IvanZakharyaschev/Как дать мне доступ по ssh на Ваш (мобильный) компьютер • Как запускать программы • Как найти пакет по программе • Как настроить почту в Thunderbird • Каталог с доступом для всех локальных пользователей • Киоск • Команды FFmpeg • Конcоль GRUB • КонсультантПлюс • Монтирование образов устройств • Настройка Alt Linux для Raspberry Pi с помощью QEMU • Настройка Fstab • Настройка принтера • Неверный размер шрифтов • О Сообществе ALT Linux • Обновление • Обход сбоя загрузки с USB • Особые действия Thunar • Очистка диска • Партионная почта • Перенос программ (backports) • Пользовательские каталоги • Проверка диска на ошибки • Распознавание лица (howdy) • Режимы работы фреймбуфера • Участник:IvanZakharyaschev/Репликация почтового ящика • Сага о драйверах • Сборка пакетов • Связка Puppet и Foreman • Связка ключей • Секционирование (партицирование) БД Zabbix на СУБД PostgreSQL • Синхронизация файлов • Сканер отпечатков пальцев (fprintd) • Скачивание видео с Яндекс.Дзен • Скачивание сайта • Создание образов устройств • Создание самоподписанных сертификатов • Создание сервиса systemd • Специальные возможности • Oracle/СПТ • Теневое копирование+Точка восстановления • Точка на цифровой клавиатуре • Управление пользователями • Управление правами • Установка Cisco Packet Tracer 7.3.1 на ALT KWorkstation P9 • Установка и настройка Rujel • Установка корневого сертификата • Установка шрифтов • Что делать, если программа не работает • Шаблоны документов • Шейпер для больших сетей • ЭП • Ярлычки программ • Категория:32x-video-on64x • Категория:Backup • Категория:BootFlash • Категория:Fdisk • Категория:FreePascal • Категория:Rescue manuals • Категория:Upgrade • Категория:WINE