Com base na resposta do dwmw2 , você pode realmente dizer aos aplicativos que usam o NSS para seu gerenciamento de certificados usar o armazenamento confiável do sistema.
libnss3
por padrão, é fornecido com um conjunto de certificados CA raiz (somente leitura libnssckbi.so
), portanto, na maioria das vezes, você deve adicioná-los manualmente ao repositório de confiança do usuário local localizado em $HOME/.pki/nssdb
. p11-kit
oferece uma substituição de entrada libnssckbi.so
que atua como um adaptador para os certificados raiz de todo o sistema instalados no /etc/ssl/certs
.
Editar:
Parece haver mais versões libnssckbi.so
lá fora do que apenas dentro libnss3
. A seguir, é apresentado um script para encontrar todos eles, fazer backup deles e substituí-los por links para p11-kit
:
sudo apt-get update && sudo apt-get install -y p11-kit libnss3
find / -type f -name "libnssckbi.so" 2>/dev/null | while read line; do
sudo mv $line ${line}.bak
sudo ln -s /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so $line
done
Instruções originais:
Para fazer isso, instale p11-kit
e libnss3
(se ainda não estiver instalado novamente):
sudo apt-get update && sudo apt-get install -y p11-kit libnss3
Em seguida, faça backup do existente libnssckbi.so
fornecido por libnss3
:
sudo mv /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so.bak
Por fim, crie o link simbólico:
sudo ln -s /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
Para confirmar que funcionou, você pode executar ll /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
e deve mostrar o link:
lrwxrwxrwx 1 root root 49 Apr 9 20:28 /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so -> /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so
Agora, se você adicionar um certificado ao armazenamento da CA usando update-ca-certificates
, esses certificados estarão disponíveis para aplicativos usando o NSS ( libnss3
) como o Chrome.