Damit ein Zertifikat als vertrauenswürdig angesehen wird, muss dessen Aussteller- oder Root Zertifikat installiert sein. Bei den bekannten PKIs ist dieses i.d.R. schon direkt nach der Installation des Betriebssystems der Fall, betreibet man eine eigene PKI, was für interne Anwendungen durchaus zu empfehlen ist, dann muss das Root CA Zertifikate der eigenen PKI installiert werden. Das CA Zertifikate muss im PEM Format vorliegen, z.B:
-----BEGIN CERTIFICATE----- MIIG4jCCBZagAwIBAgIUBODbM9i+Paz/97snL2+Rea8/vacwQQYJKoZIhvcNAQEK MDSgDzANBglghkgBZQMEAgEFAKEcMBoGCSqGSIb3DQEBCDANBglghkgBZQMEAgEF ... ROq0iK5yobVZ0lWuPVDSYl98gibW14z5b7PZy7ha6m84U88yNZo omYckt3FSGB2GMtAUyMu+mMaYjV5nXpyjlVorRBwnlk7KRJflXo= -----END CERTIFICATE-----
Den Inhalt des Zertifikats kann man sich mit openssl x509 -noout -text -in <Filename> ansehen.
RedHat/CentOS/Fedora
Die Datei muss nach /etc/pki/ca-trust/source/anchors/ kopiert werden, danach ruft man update-ca-trust auf. Danach ist das betroffene CA Zertifikat systemweit vertrauenswürdig.
Comments