Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Cамоподписанные сертификаты  (Прочитано 1013 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ChiefTech

  • Автор темы
  • Новичок
  • *
  • Сообщений: 29
    • Просмотр профиля
Cамоподписанные сертификаты
« : 06 Января 2016, 01:15:13 »
Господа.

Есть задача которую мне не удается решить из-за нехватки знаний.

В компании осуществляется проксирование трафика с использованием man-in-the-middle. На сервере/роутере под управлением pfsense дистрибутива,это все дело поднято и работает. На нем же генерится самоподписанный сертификат для клиентских машин. Клиентские машинки планируется поднимать на Ubuntu 14 или 15.

Естественно машин много и хотелось бы их автоматизировать, а именно:

-Ubuntu будет стартовать сразу в гостевую учетку. #решено
-Во время загрузки:
 -Будет обновлятся пакет браузера и флешь плагин если этот браузер будет не Хром. (Не определился какой именно использовать браузер как раз из-за не решенного вопроса) #Относительно решено
 -Будет скачиваться с сервера по tftp сертификат, и некоторые ссылки размещающиеся на рабочем столе. #Решено
 -Будет автоматически устанавливаться сертификат в системное хранилище/напрямую в браузер #тут то я и застрял

Пробовал пихать сертификат в /etc/ssl/certs/ и устанавливать его командой update-ca-certificates, но после перезагрузки, ни хром, ни мозилла его не подтянули. Хотя в интернетах пишут что Хром использует системное хранилище. Вообще предпочтительнее конечно использовать мозиллу, но с ней все совсем плохо судя из интернетов.

Если у кого-то есть опыт в автоматизации установки сертификатов в браузер(ы) прошу поделиться или направить юного падавана.

Вот это не канает. Скрипт с кодом который я не очень понимаю совсем меня пугает.

P.S. Небольшое допущение. Мозилла, при создании нового пользователя, пихает в профильный каталог базу данных с сертификатами. Значит эта эталонная база данных где то лежит, и в которую можно добавить нужный сертификат. Не скачивает же она его с сети.

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2267
    • Просмотр профиля
Re: Cамоподписанные сертификаты
« Ответ #1 : 06 Января 2016, 01:39:01 »
Возможно, ошибаюсь, но вначале нужно установить сертификат СА. Он копируется в /usr/share/ca-certificates/ и, если я правильно понимаю, после этого нужно

sudo dpkg-reconfigure ca-certificates

(во всяком случае, у меня так делается). После этого можно и самоподписанные сертификаты подсовывать.

Оффлайн ChiefTech

  • Автор темы
  • Новичок
  • *
  • Сообщений: 29
    • Просмотр профиля
Re: Cамоподписанные сертификаты
« Ответ #2 : 06 Января 2016, 12:31:17 »
Возможно я не совсем понимаю что такое самоподписываемый сертификат. Сертификат генерируется руками на сервере и импортируется в виде .crt файла. Его и нужно засунуть в браузеры.

Dpkg-reconfigure ca-certificates предусматривает тыкание по клавиатуре так как запускается диалог. Мне же нужна полная автоматизация. Чтобы в случае замены сертификата, все машины сами его подтянули и установили.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Cамоподписанные сертификаты
« Ответ #3 : 07 Января 2016, 03:53:26 »
Ответ на самом деле - "не использовать самоподписанные сертификаты".
99% клиентских приложений либо постоянно на них ругаются, независимо ни от каких условий, либо просто их не принимают.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ChiefTech

  • Автор темы
  • Новичок
  • *
  • Сообщений: 29
    • Просмотр профиля
Re: Cамоподписанные сертификаты
« Ответ #4 : 08 Января 2016, 00:44:19 »
Ответ на самом деле - "не использовать самоподписанные сертификаты".
99% клиентских приложений либо постоянно на них ругаются, независимо ни от каких условий, либо просто их не принимают.

Вы не поняли. Мне как раз и нужно поломать доступ к личным кабинетам некоторых ресурсов.

Оффлайн Haron Prime

  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 11313
  • Нетолерантный социопат
    • Просмотр профиля
Re: Cамоподписанные сертификаты
« Ответ #5 : 08 Января 2016, 00:54:20 »
Мне как раз и нужно поломать доступ к личным кабинетам некоторых ресурсов.
Цитировать
Правила форума
2. На форуме ЗАПРЕЩЕНО
2.5.
Публиковать материалы, нарушающие действующее законодательство РФ, а так же содействующие (например, в форме советов) или призывающие к его нарушению.

Попытка продолжить - бессрочный бан!
--HP

 

Страница сгенерирована за 0.06 секунд. Запросов: 25.