原文来自: How To Add DPI-SSL CA Certificate On Ubuntu OS?
- 下载证书到本地, 如果证书是
.cer格式, 可以使用以下命令转成.crt格式:
$ openssl x509 –inform DER -in rootCA.cer –out rootCA.crt
- 在目录
/usr/share/ca-certificates下创建任意名称子目录(比如这里使用extra):
$ mkdir /usr/share/ca-certificates/extra
- 拷贝文件到
/usr/share/ca-certificates/extra和/usr/share/ca-certificate/mozilla - 使用命令
dpkg-reconfigure ca-certificates, 重新配置证书:- 选择
Yes - 按空格选中刚才新增的证书:
extra/rootCA.crt和mozilla/rootCA.crt - 按 Tab 切到
Ok并确认
- 选择
- 执行命令
update-ca-certificates更新CA证书 - 检查文件
/etc/ca-certificates.conf, 确保刚才新增的两条记录前没有!符号 - Firefox / Chrome 在Ubuntu系统上有自己的证书数据库, 需要手动更新两个浏览器里的证书
- 打开Chrome浏览器, 访问
chrome://settings/certificates, 切换到Authorities, 然后选择 Import 导入rootCA.crt文件, 重启浏览器即可 - 打开Firefox浏览器, 搜索
Certificate, 点击 View Certificate, 切换到Authorities, 点击 Import
或者使用以下命令更新Chrome证书数据库:
certutil –d sql:$HOME/.pki/nssdb –A –t "C,," –n "Description Name" -i /usr/share/ca-certificates/extra/rootCA.crt
验证证书被添加到Chrome证书数据库:
$ certutil -L -d sql:${HOME}/.pki/nssdb
然后重启Chrome浏览器, 访问 chrome://settings/certificates , 切换到 Authorities Tab即可看到新增的证书.