Опираясь на dwmw2 в ответ, вы можете сказать , приложения , которые используют NSS для его управления сертификатами использовать систему доверия магазин.
libnss3
по умолчанию поставляется с набором корневых сертификатов CA только для чтения (libnssckbi.so
), поэтому большую часть времени вам нужно вручную добавлять их в локальное хранилище пользовательских сертификатов, расположенное в $HOME/.pki/nssdb
. p11-kit
предлагает встроенную замену libnssckbi.so
которая действует как адаптер для общесистемных корневых сертификатов, установленных в /etc/ssl/certs
.
Редактировать:
Кажется, существует больше версий libnssckbi.so
, чем просто в libnss3
. Ниже приведен скрипт для их поиска, резервного копирования и замены ссылками на p11-kit
:
sudo apt-get update && sudo apt-get install -y p11-kit libnss3
find / -type f -name "libnssckbi.so" 2>/dev/null | while read line; do
sudo mv $line ${line}.bak
sudo ln -s /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so $line
done
Оригинальные инструкции:
Для этого установите p11-kit
и libnss3
(если они еще не установлены):
sudo apt-get update && sudo apt-get install -y p11-kit libnss3
Затем сделайте резервную копию существующего libnssckbi.so
предоставленного libnss3
:
sudo mv /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so.bak
Наконец, создайте символическую ссылку:
sudo ln -s /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
Чтобы убедиться, что это сработало, вы можете запустить ll /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so
и там должна появиться ссылка:
lrwxrwxrwx 1 root root 49 Apr 9 20:28 /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so -> /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so
Теперь, если вы добавите сертификат в хранилище CA, используя update-ca-certificates
, эти сертификаты теперь будут доступны для приложений, использующих NSS (libnss3
), таких как Chrome.