Ubuntu, инспекция https, в режиме прозрачного прокси?

Question

[Анатолий Д]

Коллеги, добрый день, возможно ли на Linux централизовано и автоматически добавить самоподписанные сертификаты в доверенные, для множества компьютеров, и пользователей (каждого) компьютера? Чтобы обеспечить использование ресурсов в штатном режиме, несмотря на то, что прозрачный прокси инспектирует https трафик. В ручном режиме, под конкретного пользователя, все работает (в браузере, в других некоторых программах, в их частных репозиториях сертификатов). Автоматически... не удается это разрешить.
Если кто-то имеет готовое решение, или может подсказать путь к его нахождению, буду очень благодарен,
К сожалению, ни одно из найденных в поиске решений не помогает, в рамках теста, вручную добавленный сертификат, в доверенные, для пользователя A (в ряд хранилищ), не работает на этом же компьютере для пользователя Б, требуя повтора тех же действий. Подозреваю, что автоматическое решение, может очень "пахнуть" MITM-ом, но тем не менее был бы очень благодарен хотя бы за намек в сторону решения вопроса.

Спасибо,

Answer 1

[ky0]

"Автоматическое решение" - разложить везде свой корневой сертификат и подписывать то, что сейчас самоподписанное, им.

Если прямо сильно нужен именно зоопарк - регулярно раскладывать все сертификаты каким-нибудь Ансиблом в /etc/ssl или где там оно в вашем дистрибутиве.

Comments

[Анатолий Д]

Это не работает, к сожалению, почему вы думаете, что ваш совет должен помочь?
Если я не понял ваш ответ, можете его более пошагово изложить. Что Вы имели ввиду?

1. sudo cp cert.crt /usr/local/share/ca-certificates
   
2. sudo dpkg-reconfigure ca-certificates (добавить сертификат)
   
3. sudo update-ca-certificates
   

В результате система по прежнему не видит сертификата, дублирование команд в pem аналогично к сожалению.
Помогает решить вопрос РУЧНОЙ выбор сертификата хромом, после чего В ХРОМе, все ок (но в файерфоксе и другом софте, нет. При логине из под другого пользователя, аналогично.

Но я благодарен вам за небезразличие, тишина в эфире всяко хуже.

[ky0]

Анатолий Д, у всех работает, а у вас не работает - удивительно.

[Модератор]

Свару и склоку устраивать не надо.
Анатолий Д, не нравится чей-то ответ - пользуйтесь возможностью пожаловаться. Будете скандалить - расчехлю банхаммер.

Answer 2

[CityCat4]

- установить места, куда должен класться сертификат и что для этого нужно сделать
- довести "что нужно сделать" до состояния, когда не требуется ввода паролей, ключей или еще чего
- автоматизировать действие путем включения его в:
- pam (в секцию session)
- .bash_profile
- каталог автостарта гуя (если используется гуй). Метод с гуем предпочтительней, если могут возникать задержки, потому как .bash_profile отрабатывает понятное дело асинхронно.