В связи с запретом выдачи российским структурам TLS сертификатов глобальными удостоверяющими центрами из-за санкций — НУЦ Минцифры запустили свой УЦ. Для использования их сертификата и сертификатов подписанных их корневым удостоверяющим центром надо установить два сертификата.
Под Windows:
- Этот скачать и установить в Доверенные центры сертификации.
- Этот скачать и установить выбрав Автоматически выбирать хранилище.
В Firefox дополнительно требуется включить опцию ‘security.enterprise_roots.enabled’ в значение TRUE.
В Chrome временно надо использовать url с явным указанием https для тех сайтов что отключили автоматическую переадресацию на безопасный протокол (например Сбербанк), либо в Настройка->Конфиденциальность и безопасность->Безопасность найти настройку Всегда использовать безопасные соединения и включить её.
Под Linux:
Debian/Ubuntu
sudo mkdir /usr/local/share/ca-certificates/extra sudo cp root.cert.pem /usr/local/share/ca-certificates/extra/root.cert.crt sudo update-ca-certificates
Fedora
sudo cp root.cert.pem /etc/pki/ca-trust/source/anchors/ sudo update-ca-trust
Этот метод добавит сертификаты в систему и они будут доступны для утилит типа wget и curl. Однако браузеры их все еще не увидят. Чтобы заставить их видеть нужные сертификаты есть небольшой скрипт:
#!/bin/bash ### Script installs root.cert.pem to certificate trust store of applications using NSS ### (e.g. Firefox, Thunderbird, Chromium) ### Mozilla uses cert8, Chromium and Chrome use cert9 ### ### Requirement: apt install libnss3-tools ### ### ### CA file to install (CUSTOMIZE!) ### certfile="root.cert.pem" certname="My Root CA" ### ### For cert8 (legacy - DBM) ### for certDB in $(find ~/ -name "cert8.db") do certdir=$(dirname ${certDB}); certutil -A -n "${certname}" -t "TCu,Cu,Tu" -i ${certfile} -d dbm:${certdir} done ### ### For cert9 (SQL) ### for certDB in $(find ~/ -name "cert9.db") do certdir=$(dirname ${certDB}); certutil -A -n "${certname}" -t "TCu,Cu,Tu" -i ${certfile} -d sql:${certdir} done
Для его работы требуется установка libnss3-tools
Сам сертификат надо положить в туже директорию где и запускаемый скрипт, и указать его имя в самом скрипте (по умолчанию это root.cert.pem
)
Чтобы сконвертировать файл из cer формат в pem надо выполнить две команды:
sudo apt install openssl openssl x509 -inform der -in cert.cer -outform pem -out cert.pem
Ну и конечно можно плюнуть на всё и перейти на Яндекс-браузер или Атом (не реклама)
Поделиться ссылкой: