Целью предустановленных корневых сертификатов является то, что они служат вершиной цепочки доверия (на самом деле это скорее дерево, или лес деревьев ...).
Предустановив ихмы предполагаем (хотя мы все знаем, что люди говорят о допущении), что они не скомпрометированы и могут использоваться для проверки любого другого сертификата.Хотя можно было бы скомпрометировать их, например, взломав FTP-сервер и связавшись с образами DVD-дисков дистрибутива Linux, это не очень легко и не будет оставаться незамеченным в течение длительного времени, а также не может быть нацелено на конкретную организацию.*
В вашем случае вам следует выполнить одно из следующих действий:
Установить корневые сертификаты в вашей системе, используя пакет от поставщика системы.Для относительно высокого уровня доверия вам следует загрузить один и тот же пакет из двух разных мест, предпочтительно через разных интернет-провайдеров (например, из дома и с работы) и с двух или трех разных зеркал.Затем вы можете сравнить загруженные файлы, которые должны быть идентичными.Если поставщик вашей системы предоставляет контрольные суммы для своих файлов пакетов в Интернете, вы также должны проверить их.
Извлеките корневые сертификаты из доверенной системы через USB-накопитель и перенесите их в свою систему.Вы должны проверить безопасность доверенной системы заранее.Хорошим источником будет использование первоначальной установки Linux с официального установочного диска.
Установите хотя бы один корневой сертификат надежно (например, с помощью метода USB-накопителя), затем попытайтесь отследитьсертификаты эмитента для ваших партнеров.Для каждого сертификата эмитента вы должны вручную проверять и устанавливать любые другие сертификаты в цепочке доверия, пока не получите предварительно установленный корневой сертификат.Это может быть очень утомительной процедурой, и вы будете разочарованы, так как большинство ЦС используют несколько сертификатов по разным причинам, от уменьшения влияния потенциального компромисса до маркетинговых и деловых причин.
ВыНИКОГДА не устанавливайте сертификат, загруженный из Интернета, в качестве доверенного ЦС, если только вы не можете проверить его действительность с помощью предварительно установленного сертификата.
Итак, в качестве ответа на ваш вопрос: если у вас нет много времени и терпения,наряду с желанием узнать больше о PKI, чем хотелось бы большинству людей, просто найдите способ установить правильный корневой сертификат в вашей системе.
РЕДАКТИРОВАТЬ:
Я забыл упомянуть, чтонекоторые поставщики ОС (например, SuSE) имеют свои собственные сертификаты, предварительно установленные в их системе управления пакетами.В этом случае загрузка пакетов из официальных репозиториев с использованием этой системы управления пакетами должна быть достаточно безопасной, чтобы вам не пришлось беспокоиться ни об одном из вышеперечисленных, чтобы гарантировать действительность пакета корневого сертификата.