Не удается добавить сертификат .pem в качестве доверенного корневого сертификата в Ubuntu 16.04

Question

Я использую сценарий оболочки для копирования файлов .pem в определенную папку на машине с Ubuntu 16.04.Я использую следующий подход:

1. Я скопировал файл pem /usr/local/share/ca-certificates

2. Я сгенерировалCRT-файл из pem-файла с помощью команды openssl x509 -inform der -in mycert.cer -out mycert.pem

3. Я установил сертификаты в машину с Ubuntu с помощью команды sudo update-ca-certificates

4. Хотя символические ссылки создаются в папке /etc/ssl/certs, но я не вижу записи mycert.crt в файле /etc/ca-certificates.conf Я не вижу записи даже с помощью командыsudo dpkg-reconfigure ca-certificates.

Поэтому я сомневаюсь, необходимо ли наличие сертификата в файле /etc/ca-certificates.conf, чтобы быть доверенным корневым сертификатом?

Любая помощьбудет высоко ценится.

Answer 1

Нет, это не обязательно должно присутствовать в /etc/ca-certificates.conf, чтобы доверять.

Файл /etc/ca-certificates.conf позволяет локальному администратору переопределить политику доверия и отключить привязки доверия, поставляемые с ОС в пакете ca-certificates, без необходимости манипулировать файлами, принадлежащими пакету.

Поскольку дерево /usr/local уже находится под контролем локального администратора и не принадлежит ca-certificates, они могут отключить настроенные привязки доверия, просто удалив добавленный файл.

Другими словами, файл /etc/ca-certificates.conf используется для добавления возможности локальной переопределения политики в отношении якорей доверия в /usr/share/ca-certificates. Доверяющие якоря в локальном каталоге - /usr/local/share/ca-certificates не затрагиваются.

Ссылки:

• Источник обновлений CA-сертификатов
• источник сценария postinst