V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
acbot
V2EX  ›  SSL

Windows 和 Linux 系列操作系统命令方式导入 CA 根证书的一些问题!

  •  
  •   acbot · 2022-08-17 22:32:43 +08:00 · 1403 次点击
    这是一个创建于 830 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Windows 导入证书命令有

    certmgr /c /add ca.crt /s root certutil -addstore root ca.crt

    1. certutil 需要管理员权限但可以执行成功 certmgr 在 Win 7 下直接弹出图形界面无法达到预期,不知道 certutil 在 Win 10 及其之后的系统中能使用不

    2. 不论是使用 mmc 图形界面导入还是 certutil 命令行导入,都存在一个问题那就是导入完成之后在 mmc 图形管理界面中查看证书的时候:预期目的,友好名称 OID 等参数都是空白需要再手动去添加或者是修改,有什么方式或者参数能导入的时候就直接添加好了呢。

    Linux 系统入证书命令有

    Debain 系

    cp ca.pem /usr/local/share/ca-certificates/extra/xxx.cert.crt
    update-ca-certificates
    

    Fedora 系

    cp ca.pem/etc/pki/ca-trust/source/anchors
    update-ca-trust
    
    1. 这里都有一个前提条件就是 CA 证书必须拷贝到指定目录,并且必须长期保持不然如果再次执行相应的更新命令这个 CA 证书就掉了,那么系统自带的证书是如何做到一直都在的呢,或者说我如果要管理已有的 CA 证书应该如何操作,比如 删除 更新系统自带的 CA

    2. 还有一个说法是 Linux 下的 Chrome 浏览器是单独管理 CA 整数的是这样的吗,如果是单独的那么有命令方式可以直接管理吗?

    第 1 条附言  ·  2022-08-18 10:37:20 +08:00

    文字描述可能不是太清楚,还是截图说明一下情况吧!Windows下导入的方式还是很多,现在需求就是尽量用命令或者是脚本导入,导入之后这些参数都有了,不需要再去手动修改!

    9 条回复    2022-08-18 16:51:20 +08:00
    billlee
        1
    billlee  
       2022-08-17 23:41:13 +08:00
    Linux 下 firefox 和 chrome 都需要“单独”管理。准确的说是有 nss 和 openssl 两大体系。多数应用是用 openssl. Mozilla 和 redhat 的应用则大多用 nss.
    yaoyao1128
        2
    yaoyao1128  
       2022-08-17 23:52:40 +08:00 via iPhone
    win
    导入过程似乎不太行 但是可以 ps 命令行解决
    导入参考
    - https://docs.microsoft.com/en-us/powershell/module/pki/import-certificate?view=windowsserver2022-ps
    - https://docs.microsoft.com/en-us/powershell/module/pki/import-pfxcertificate?view=windowsserver2022-ps
    改名参考
    - https://www.alitajran.com/change-certificate-friendly-name/

    linux
    看所对应系统 ca 证书的包,debian 系列应该是保存在 /usr/share/ca-certificates
    adoal
        3
    adoal  
       2022-08-18 00:17:38 +08:00 via iPhone
    /usr/share/doc/ca-certificates/README.Debian 讲得很清楚
    fgwmlhdkkkw
        4
    fgwmlhdkkkw  
       2022-08-18 00:57:14 +08:00 via Android
    mkcert
    acbot
        5
    acbot  
    OP
       2022-08-18 10:20:19 +08:00
    @adoal 我在 centos 上看这个文件就是些没什么意义的内容!
    acbot
        6
    acbot  
    OP
       2022-08-18 11:09:33 +08:00
    @yaoyao1128 谢谢,不过初略的看了一下,感觉 ps 命令一样的呢! mmc 窗口都可以做修改,研究命令行方式主要是要批量操作和非专业用户操作!
    acbot
        7
    acbot  
    OP
       2022-08-18 11:09:54 +08:00
    @billlee 谢谢!
    adoal
        8
    adoal  
       2022-08-18 12:25:53 +08:00 via iPhone
    @acbot 这个功能貌似没有通用的、独立于发型版的软件包,都是各发型版自己做的维护工具。RH 系我不熟。Debian 系的看那个说明足够了。而且这个机制维护的 CA 列表,通过插件机制还对 Java 起作用,当然前提是用的发型版打包的 JRE/JDK 。
    acbot
        9
    acbot  
    OP
       2022-08-18 16:51:20 +08:00
    @adoal 谢谢!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2465 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 15:51 · PVG 23:51 · LAX 07:51 · JFK 10:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.