Como se instala um certificado CA personalizado no CentOS?

Estou tentando instalar um certificado para o meu servidor de certificação interno em uma série de sistemas CentOS e estou achando a documentação quase inexistente.

Meu objetivo final é ser capaz de usar git, curle outros contra servidores seguros internos sem erros.

No Ubuntu, é bastante simples, você lança o certificado em uma pasta e executa um comando para gerar uma série de links para adicionar o certificado da CA ao caminho da certificação.

Durante toda a minha vida, não consigo descobrir como fazer isso no CentOS. Muitas informações estão disponíveis em certificados aleatórios confiáveis. (A saber: crie um link simbólico no /etc/pki/tls/certsarquivo de certificado codificado pelo PEM, nomeado com o hash do certificado. Não funcionou para minha CA, pois os aplicativos mencionados ainda não conseguem verificar um certificado assinado pela CA).

Como você instala uma nova CA raiz em um sistema CentOS?

A partir do CentOS 6+, existe uma ferramenta para isso. De acordo com este guia , os certificados podem ser instalados primeiro, habilitando o armazenamento de CA compartilhado do sistema:

update-ca-trust enable

Em seguida, coloque os certificados em confiança como CAs /etc/pki/ca-trust/source/anchors/para alta prioridade (não substituível) ou /usr/share/pki/ca-trust-source/(prioridade mais baixa, substituível) e, finalmente, atualizando o armazenamento do sistema com:

update-ca-trust extract

Agora, as ferramentas do sistema agora confiarão nesses certificados ao fazer conexões seguras!

Infelizmente, não acho que exista uma única maneira centralizada de fazer isso no CentOS. Passei muito tempo tentando realizar a mesma coisa. O repositório principal de certificados pki tls é usado para muito, mas definitivamente não para tudo.

Minha solução foi manter um módulo fantoche que enviará um armazenamento de certificados atualizado para cada local usado por produto. A lógica básica é que, se existir uma determinada loja, adicione minha entrada personalizada.

Isso não é perfeito - algumas instâncias do tomcat que implanto têm uma instalação Java interna com um diretório cacerts não padrão para uma delas, mas ele lida com a maioria das minhas necessidades.