添加CA根证书到操做系统得到信任

如今不少网站和服务都使用了HTTPS进行链路加密、防止信息在传输中间节点被窃听和篡改。HTTPS的启用都须要一个CA证书，以保证加密过程是可信的。

咱们能够申请和得到一个CA机构颁发的证书，在软件调试过程当中或者机构内部网能够建立自签名的CA证书，在【配置Harbor私有Docker镜像服务使用HTTPS】有关于自签名CA证书制做和使用的描述。

所谓“自签名”就是把本身当成一个CA证书颁发机构，只不过未获得公共证书机构的承认。这样的CA证书在部分操做系统下，能够直接配置在应用系统里使用，在浏览器里每每会进行提示，若是加入“例外”白名单中，就能够继续使用。

但在有的操做系统和一些版本中，须要将根证书配置为系统级的证书，才容许继续使用，系统就像个看大门的，需得首先过了这一关才行。尤为是由于出现证书机构颁发虚假证书问题，最近不少操做系统都增强了安全措施，对证书都增强了验证，必须进行ca证书配置才能继续访问了。

Mac OS X

添加证书：

sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain ~/new-root-certificate.crt

移除证书：

sudo security delete-certificate -c "<name of existing certificate>"

Windows

添加证书：

certutil -addstore -f "ROOT" new-root-certificate.crt

移除证书：

certutil -delstore "ROOT" serial-number-hex

Linux (Ubuntu, Debian)

添加证书：

1. 复制 CA 文件到目录： /usr/local/share/ca-certificates/

2. 执行:

   sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt

3. 更新 CA 证书库:

   sudo update-ca-certificates

移除证书：

1. Remove your CA.

2. Update the CA store:

   sudo update-ca-certificates --fresh

Restart Kerio Connect to reload the certificates in the 32-bit versions or Debian 7.

Linux (CentOs 6)

添加证书：

1. 安装 ca-certificates package:

   yum install ca-certificates

2. 启用dynamic CA configuration feature:

   update-ca-trust force-enable

3. Add it as a new file to /etc/pki/ca-trust/source/anchors/:

   cp foo.crt /etc/pki/ca-trust/source/anchors/

4. 执行:

   update-ca-trust extract

Restart Kerio Connect to reload the certificates in the 32-bit version.

Linux (CentOs 5)

添加证书：

Append your trusted certificate to file /etc/pki/tls/certs/ca-bundle.crt

cat foo.crt >> /etc/pki/tls/certs/ca-bundle.crt