Как добавить корневой selfsigned сертификат в linux mint?

Question

[Kozlov]

Имеется сервер servers.domain.local (Windows Server IIS), на него выпущен selfsigned сертификат через powershell

New-SelfSignedCertificate -Subject "servers.domain.local" -TextExtension @("2.5.29.17={text}DNS=servers.domain.local&IPAddress=192.168.1.4&IPAddress=::1")

На машинах с Windows раскинут политикой, все работает отлично. Вручную на недоменных компах тоже добавлен и все работает.
Но, есть тачки с linux mint и там даже при установке его в систему браузер google chrome (основной используется именно он) не доверяет этому сертификату.
Как выпустить сертификат для локальных машин чтобы все работало и на win и на linux?

Answer 1

[Kozlov]

Итак, решил вопрос выпустив новый сертификат с УЦ и альтернативными именами сервера (нужно для chrome)
Создаем корневой сертификат

openssl ecparam -out ca.key -name prime256v1 -genkey
openssl req -new -sha256 -key ca.key -out ca.csr
openssl x509 -req -sha256 -days 365 -in ca.csr -signkey ca.key -out ca.crt

Создаем сертификат сервера

openssl genrsa -out server.key 4096
openssl req -new -key server.key -out server.csr -config san.cnf
openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -extensions req_ext -extfile san.cnf

Тело san.cnf

[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = RU
ST  = Russia
L   = Moscow
O   = ORG
OU  = ORG
CN  = server.domain.local

[req_ext]
subjectAltName = @alt_names

[alt_names]
IP.1 = 192.168.1.4
DNS.1 = server.domain.local

Конвертируем в pfx

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

Далее server.pfx установил на сервер IIS, а ca.crt раскинул политиками на виндовые тачки, и добавил в корневые на линуксовые. Все работает!