如何在Linux系统中安装根证书

本文指导如何在不同版本的 Linux系统中安装根证书。

前提条件

已拥有根证书或中间证书。阿里云支持下载的根证书,请参见下载根证书

操作步骤

在 Linux 系统中安装根证书的步骤会因发行版不同而有所差异。以下是主流发行版的安装方法:

CentOS/Red Hat/Fedora 系统

一、安装系统 CA 证书包

sudo yum install ca-certificates   

二、手动添加根证书

  1. 导入根证书。将根证书文件上传到系统证书目录。

    路径:/etc/pki/ca-trust/source/anchors/

  2. 更新证书信任存储。

    sudo update-ca-trust extract

    系统会重新生成 /etc/pki/tls/certs/ca-bundle.crt

  3. 验证证书是否生效。使用 OpenSSL 测试 HTTPS 连接。

    openssl s_client -connect example.com:443 -CAfile /etc/pki/tls/certs/ca-bundle.crt
    说明

    验证点:

    • 输出中应包含您的证书链信息。

    • 如果连接成功且无证书错误(如 Verify return code: 0 (ok)),说明证书已生效。

Ubuntu/Debian 系统

一、安装系统 CA 证书包

sudo apt install ca-certificates

二、手动添加根证书

  1. 导入根证书。将根证书文件上传到系统证书目录。

    路径:/usr/local/share/ca-certificates/

  2. 更新证书信任存储。

    sudo update-ca-certificates

    系统会自动将新证书合并到系统根证书文件/etc/ssl/certs/ca-certificates.crt中。

  3. 验证证书是否生效。

    • 使用 openssl 验证:

      #使用以下命令检查证书文件是否在信任库中。将 your-certificate.crt 替换为您的根证书文件名。
      openssl verify /usr/local/share/ca-certificates/your-certificate.crt

      如果输出是 /usr/local/share/ca-certificates/your-certificate.crt: OK,则表示验证成功。

    • 检查符号链接:

      #查看目录下是否生成了对应的 .pem 符号链接文件,将 your-certificate替换为您的根证书文件名。
      ls -la /etc/ssl/certs | grep your-certificate

相关文档