我有大量运行RedHat Enterprise
Linux 5和6的工作站.我想将新的内部CA(Active Directory)部署到这些机器上.我可以手动将证书导入Firefox 10而没有任何问题,但我似乎无法找到将.cer文件存储在文件系统中的位置,以便FireFox和Google Chrome使用它.这两种浏览器都使用可信CA的中心位置吗?
如果没有,我会采取更自动化的方式让FireFox接受我的CA.
我试过的东西
>使用Mozilla提供的certutil – 但这似乎只涉及客户端证书,除非我弄错了.
>修改ca-certificates包中包含的/etc/pki/tls/ca-bundle.crt. Firefox似乎不尊重此文件.
解决方法
对于Firefox:FF将证书存储在用户配置文件中,您必须为每个框中的每个配置文件导入证书.对于受信任的CA,证书应采用PEM格式,并使用certutil命令导入(在RedHat上的nss-tools包中可用):
您可以使用此命令列出证书:
certutil -L -d ~/.mozilla/firefox/[profile]
然后,可以使用以下方法导入证书:
certutil -A -n 'Certificate Name' -t CT,-d ~/.mozilla/firefox/[profile] < /path/to/certificate.pem
有关详情,请参见http://www.dzhang.com/blog/2011/01/29/importing-exporting-firefox-certificates-from-command-line.
根据the chromium wiki,您可以使用certutil进行铬.我不知道这是否适用于股票铬.
通过一些脚本编写,应该可以在此环境中自动部署AD证书颁发机构.