Краткое описание: Есть много Linux ПК которые через proxy ходят в нет. Proxy все пакеты проверяет все аж до 7 лелева OSI вместе с https, также прокси имеет свой сертификат торым заново подписывает пакеты после проверки, перед отдачей клиенту. Клиенты юзают Firefox и Chromium - если идеш на простой http сайт - у тебя 1 раз спросит подтверждение сертификата и дальше все ок(если добавить в его в доверенные), но если идеш на https сайт - каждый сайт спросит подтверждение сертификата. Для того чтобы такого не было - сертификат CA(тот же которым прокси подписывает пакеты) был установлен на все ПК. Но он автоматически не используется ни в FF ни в Chromium. Я ставил вручную сертификат каждому пользователю. Нужно сделать так чтобы юзался системный CA автоматически. Так как очень много ПК(более 500) и большая текучка людей, просто невозможно каждому пользователю постоянно добавлять CA сертификат.
Дано:
ОС Lubuntu 14.04, Firefox + Chrome
В ОС в системном хранилище сертификатов есть CA сертификат.
Нужно: чтобы Firefox и Chromium использовали системное хранилище CA. Также чтобы при добавлении нового пользователя в систему у него не нужно было б настроивать вручную чтонибуть.
Относительно Chromium я более менее добился приемлемого для меня результата.
Я закинул(сгенерированую ранее БД сертификатов) в /etc/skell/.pki/nssdb cert9.db key4.db и pkcs11.txt
В результате я при добавлении нового пользователя получаю в домашней директории базу с сертификатами которую юзает Chromium. Все вроди как устраивает. Интересуют другие способы решения даной проблемы.
Относительно Firefox - полный 0.
Firefox использует свою бд с сертификатами в ~/.mozilla/firefox/xxxx.default/cert8.db key3.db Если ему подсунуть вместо cert8 и key3 - cert9 и key4 он их не ипользует, а создает новый cert8.db и key3.db. Как его заставить юзать cert9.db, key4.db вмместо cert8.db и key3.db, или же как заставить ипользовать системые CA?
Как сделать так чтобы при добавлении нового пользователя он сразу использовал нужные CA?
Идеально было б если бы и FF и Cromium юзали системные настройки, как вариант можно чтобы они ОБА юзали сертификаты из ~/.pki/nssdb/
PS: пробовал для FF создавать директорию /etc/firefox/defaults/profile и туда закидывать профиль с файлами cert8.db и key3.db но при открытии Firefox профиль оттуда не подтягивается, а создается новый.
Пользователь решил продолжить мысль [time]11 Февраль 2015, 11:57:09[/time]:
Никаких идей нет?
Пользователь решил продолжить мысль [time]11 Февраль 2015, 14:43:28[/time]:
Решило мою проблему
https://bugs.launchpad.net/ubuntu/+source/firefox/+bug/1185720В новых Firefox поменялись пути
/usr/lib/firefox/defaults/profile doesn't work anymore starting with firefox 21, and should be replaced with /usr/lib/firefox/browser/defaults/profile
.
Теперь я могу закинуть эталонный cert8.db в /usr/lib/firefox/browser/defaults/profile и при создании нового пользователя он скопирует себе эталонную базу сертификатов в свой профиль.