将内部CA部署到Linux客户端

我有大量运行RedHat Enterprise Linux 5和6的工作站。我想将新的内部CA(Active Directory)部署到这些机器上。 我可以手动将证书导入到Firefox 10中,没有任何问题,但我似乎无法find在文件系统上存储.cer文件的位置,以便FireFox和Google Chrome使用它。 这两个浏览器是否有一个信任CA的中心位置?

如果没有,我会解决一个更自动的方式让FireFox接受我的CA.

我试过的东西

  • 使用Mozilla提供的certutil – 但是这似乎只处理客户端证书,除非我错了。
  • 修改ca-certificates包中包含的/etc/pki/tls/ca-bundle.crt 。 Firefox似乎没有兑现这个文件。

对于Firefox:FF将证书存储在用户configuration文件中,您必须为每个configuration文件中的每个configuration文件导入证书。 对于可信任的CA,证书应该采用PEM格式,并使用certutil命令(可在RedHat上的nss-tools包中获得)导入:

您可以使用此命令列出证书:

 certutil -L -d ~/.mozilla/firefox/[profile] 

然后,可以使用以下命令导入证书:

 certutil -A -n 'Certificate Name' -t CT,, -d ~/.mozilla/firefox/[profile] < /path/to/certificate.pem 

有关详细信息,请参见http://www.dzhang.com/blog/2011/01/29/importing-exporting-firefox-certificates-from-command-line

根据铬维基,你可以使用certutil铬。 我不知道这是否也适用于股票铬。

通过一些脚本,应该可以在这个环境中自动部署您的ADauthentication中心。