В связи с запретом выдачи российским структурам TLS сертификатов глобальными удостоверяющими центрами из-за санкций — НУЦ Минцифры запустили свой УЦ. Для использования их сертификата и сертификатов подписанных их корневым удостоверяющим центром надо установить два сертификата.
Под Windows:
- Этот скачать и установить в Доверенные центры сертификации.
- Этот скачать и установить выбрав Автоматически выбирать хранилище.
В Firefox дополнительно требуется включить опцию ‘security.enterprise_roots.enabled’ в значение TRUE.
В Chrome временно надо использовать url с явным указанием https для тех сайтов что отключили автоматическую переадресацию на безопасный протокол (например Сбербанк), либо в Настройка->Конфиденциальность и безопасность->Безопасность найти настройку Всегда использовать безопасные соединения и включить её.
Под Linux:
Debian/Ubuntu
sudo mkdir /usr/local/share/ca-certificates/extra sudo cp root.cert.pem /usr/local/share/ca-certificates/extra/root.cert.crt sudo update-ca-certificates
Fedora
sudo cp root.cert.pem /etc/pki/ca-trust/source/anchors/ sudo update-ca-trust
Этот метод добавит сертификаты в систему и они будут доступны для утилит типа wget и curl. Однако браузеры их все еще не увидят. Чтобы заставить их видеть нужные сертификаты есть небольшой скрипт:
#!/bin/bash
### Script installs root.cert.pem to certificate trust store of applications using NSS
### (e.g. Firefox, Thunderbird, Chromium)
### Mozilla uses cert8, Chromium and Chrome use cert9
###
### Requirement: apt install libnss3-tools
###
###
### CA file to install (CUSTOMIZE!)
###
certfile="root.cert.pem"
certname="My Root CA"
###
### For cert8 (legacy - DBM)
###
for certDB in $(find ~/ -name "cert8.db")
do
certdir=$(dirname ${certDB});
certutil -A -n "${certname}" -t "TCu,Cu,Tu" -i ${certfile} -d dbm:${certdir}
done
###
### For cert9 (SQL)
###
for certDB in $(find ~/ -name "cert9.db")
do
certdir=$(dirname ${certDB});
certutil -A -n "${certname}" -t "TCu,Cu,Tu" -i ${certfile} -d sql:${certdir}
done
Для его работы требуется установка libnss3-tools
Сам сертификат надо положить в туже директорию где и запускаемый скрипт, и указать его имя в самом скрипте (по умолчанию это root.cert.pem)
Чтобы сконвертировать файл из cer формат в pem надо выполнить две команды:
sudo apt install openssl openssl x509 -inform der -in cert.cer -outform pem -out cert.pem
Ну и конечно можно плюнуть на всё и перейти на Яндекс-браузер или Атом (не реклама)
Поделиться ссылкой: