各種作業系統的憑證安裝教學

Posted on 2024-10-09

在這個 Cloud Native 的時代，私有環境愈來愈普遍，隨之而來的是安裝私有憑證的需求。不論是為了設定內部的 Docker Registry、內部的 API 服務、或者是其他需要加密的私有系統，我們經常需要在不同作業系統上安裝自簽的憑證或其他內部憑證。

本文將為大家整理在各種常見的作業系統上安裝憑證的方法，幫助你快速解決私有憑證的問題。希望能讓大家在面對各式各樣的系統設定時，可以更加得心應手，減少因為憑證問題而帶來的困擾。

PhotonOS

PhotonOS 是一款 VMware 開發的輕量級 Linux 作業系統，通常用於容器化環境。在 PhotonOS 上，我們可以使用以下指令來將憑證加入系統：

1 2	sudo cp ca.crt /etc/pki/ca-trust/source/anchors/ sudo update-ca-trust

這種方式將憑證放置在受信任的憑證目錄中，並更新系統的憑證存儲。相比直接修改 ca-bundle.crt，這種方法更安全，避免了系統更新後憑證被覆蓋的風險。請確保在操作時具有管理員權限。

在 macOS Big Sur 上，可以通過圖形界面來安裝憑證：

打開「鑰匙圈存取」應用程式：
- 前往「應用程式」>「工具程式」>「鑰匙圈存取」。
匯入憑證：
- 在左側的「鑰匙圈」中選擇「系統」。
- 點擊上方的「檔案」>「匯入項目」。
- 選擇您的憑證檔案（如 ca.crt），點擊「開啟」。
設定信任層級：
- 在列表中找到您剛匯入的憑證，雙擊打開。
- 展開「信任」部分，將「使用此憑證時」設為「始終信任」。
- 關閉視窗，系統可能會要求輸入管理員密碼進行確認。
- 完成後，請重新啟動相關應用程式以使變更生效。

如果您偏好使用指令行，可以使用以下指令：

1	sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain ~/ca.crt

此指令將憑證添加到系統鑰匙圈中，並設定為受信任的根憑證。這種方法快捷高效，適合熟悉終端操作的使用者。

在 Windows 系統上，可以使用 certutil 命令安裝憑證。請以管理員身份開啟命令提示字元，然後執行：

1	certutil -addstore -f "ROOT" ca.crt

這個命令會將憑證添加到 Windows 的受信任根憑證存儲區中。完成後，建議重新啟動相關應用程式以確保憑證生效。

在 Ubuntu 上安裝自簽憑證的步驟如下：

1 2	sudo cp ca.crt /usr/local/share/ca-certificates/ca.crt sudo update-ca-certificates

上述命令將憑證複製到系統的憑證目錄，並更新憑證存儲。請確保使用 sudo 提升權限。完成後，可以使用以下命令驗證憑證是否已成功安裝：

1	sudo update-ca-certificates --verbose

在 CentOS 6 上，我們可以使用以下步驟來安裝憑證：

sudo yum install ca-certificates
sudo update-ca-trust force-enable
sudo cp ca.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust extract

這些命令會將憑證添加到受信任的錨點目錄，並更新系統的憑證存儲。確保以管理員身份執行這些操作。

對於較舊的 CentOS 5，由於不支援 update-ca-trust，我們可以使用以下方法：

1 2	sudo cp ca.crt /etc/pki/tls/certs/ sudo c_rehash

或者直接附加憑證：

1	sudo cat ca.crt >> /etc/pki/tls/certs/ca-bundle.crt

注意: 直接修改 ca-bundle.crt 可能在系統更新後被覆蓋，不建議使用此方法。由於 CentOS 5 已停止支援，強烈建議升級到更新的版本以確保系統安全。

在現代 IT 環境中，隨著私有系統的增加，安裝自簽或內部憑證已成為不可避免的工作。不同的作業系統有不同的處理方式，了解如何在這些系統上正確地安裝憑證，對於維護內部服務的安全性非常重要。

建議：

希望本文整理的各種作業系統安裝憑證的方法能夠幫助到大家。
如果您有其他系統的憑證安裝需求或更好的方法，歡迎分享！我們一起交流，共同提升對不同作業系統的管理經驗與技術能力，確保每個私有環境的安全性都能達到最高標準。