Установка корневых сертификатов НУЦ Минцифры

В связи с запретом выдачи российским структурам TLS сертификатов глобальными удостоверяющими центрами из-за санкций — НУЦ Минцифры запустили свой УЦ. Для  использования их сертификата и сертификатов подписанных их корневым удостоверяющим центром надо установить два сертификата.

Под Windows:

  1. Этот скачать и установить в Доверенные центры сертификации.
  2. Этот скачать и установить выбрав Автоматически выбирать хранилище.

В Firefox дополнительно требуется включить опцию ‘security.enterprise_roots.enabled’ в значение TRUE.

В Chrome временно надо использовать url с явным указанием https для тех сайтов что отключили автоматическую переадресацию на безопасный протокол (например Сбербанк), либо в Настройка->Конфиденциальность и безопасность->Безопасность найти настройку Всегда использовать безопасные соединения и включить её.

Под Linux:

Debian/Ubuntu

sudo mkdir /usr/local/share/ca-certificates/extra
sudo cp root.cert.pem /usr/local/share/ca-certificates/extra/root.cert.crt
sudo update-ca-certificates

Fedora

sudo cp root.cert.pem /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust

Этот метод добавит сертификаты в систему и они будут доступны для утилит типа wget и curl. Однако браузеры их все еще не увидят. Чтобы заставить их видеть нужные сертификаты есть небольшой скрипт:

#!/bin/bash

### Script installs root.cert.pem to certificate trust store of applications using NSS
### (e.g. Firefox, Thunderbird, Chromium)
### Mozilla uses cert8, Chromium and Chrome use cert9

###
### Requirement: apt install libnss3-tools
###


###
### CA file to install (CUSTOMIZE!)
###

certfile="root.cert.pem"
certname="My Root CA"


###
### For cert8 (legacy - DBM)
###

for certDB in $(find ~/ -name "cert8.db")
do
    certdir=$(dirname ${certDB});
    certutil -A -n "${certname}" -t "TCu,Cu,Tu" -i ${certfile} -d dbm:${certdir}
done


###
### For cert9 (SQL)
###

for certDB in $(find ~/ -name "cert9.db")
do
    certdir=$(dirname ${certDB});
    certutil -A -n "${certname}" -t "TCu,Cu,Tu" -i ${certfile} -d sql:${certdir}
done

Для его работы требуется установка libnss3-tools

Сам сертификат надо положить в туже директорию где и запускаемый скрипт, и указать его имя в самом скрипте (по умолчанию это root.cert.pem)

Чтобы сконвертировать файл из cer формат в pem надо выполнить две команды:

sudo apt install openssl
openssl x509 -inform der -in cert.cer -outform pem -out cert.pem

Ну и конечно можно плюнуть на всё и перейти на Яндекс-браузер или Атом (не реклама)
Поделиться ссылкой:

0 0 голоса
Article Rating
Подписаться
Уведомить о
guest
0 Комментарий
Межтекстовые Отзывы
Посмотреть все комментарии