Добавление сертификатов в глобальное хранилище ОС

[mdo]

Всем привет.

В ОС Astra Linux 1.7 (например 1.7.6uu2), мы кладём сертификат в папку /usr/local/share/ca-certificates.
Обновляем хранилище командой update-ca-certificates -v и проверяем, что ОС доверяет сертификату командой openssl verify /usr/local/share/ca-certificates/mycert.crt
После данной процедуры, браузеры, входящие в поставку ОС, принимают этот сертификат и начинают с ним работать.

Вопрос. Как настроить Yandex Browser или MS EDGE для работы с хранилищем сертификатов ОС? Кто-то пробовал это делать?
Судя по всему разработчики астры нашли некий способ, что бы подружить свои браузеры.

Вариант с certutil и добавлением в локальное хранилище пользователя мне известен. Он не подходит.

 

[Костюков Владимир]

Какие именно сертификаты хотите добавлять. Аналогичные ca.CRT ?

 

[mdo]

Типа того.
Обычные корневые crt сертификаты, которые выпускает наш внутренний центр сертификации для внутренних веб-систем.
Из коробки там лежат
/usr/local/share/ca-certificates/rootca_MinDDC_rsa2022.crt
/usr/local/share/ca-certificates/russian_trusted_sub_ca_pem.crt

 

[flynbit]

Можно заставить Яндекс Браузер увидеть системные сертификаты с помощью библиотеки p11-kit-trust.so

sudo apt install -y p11-kit-modules

Нужно добавить в конец файла ~/.pki/nssdb/pkcs11.txt

library=/usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so
name=System certs
NSS=trustOrder=110

 

[mdo]

Спасибо!
Но если я добавляю в конец, то не работает.

А вот если я заменю содержимое на указанное Вами, то работает. И работает да же в MS EDGE

Содержимое оригинального файла ~/.pki/nssdb/pkcs11.txt
library=
name=NSS Internal PKCS #11 Module
parameters=configdir='sql:/home/user01/.pki/nssdb' certPrefix='' keyPrefix='' secmod='secmod.db' flags=optimizeSpace updatedir='' updateCertPrefix='' updateKeyPrefix='' update
id='' updateTokenDescription=''
NSS=Flags=internal,critical trustOrder=75 cipherOrder=100 slotParams=(1={slotFlags=[ECC,RSA,DSA,DH,RC2,RC4,DES,RANDOM,SHA1,MD5,MD2,SSL,TLS,AES,Camellia,SEED,SHA256,SHA512] as
kpw=any timeout=30})

 

[flynbit]

Странно, что не сработало. Между содержимым pkcs11.txt и добавляемыми строчками должна быть пустая строка. В таком виде будет работать:

library=
name=NSS Internal PKCS #11 Module
parameters=configdir='sql:/home/user01/.pki/nssdb' certPrefix='' keyPrefix='' secmod='secmod.db' flags=optimizeSpace updatedir='' updateCertPrefix='' updateKeyPrefix='' update
id='' updateTokenDescription=''
NSS=Flags=internal,critical trustOrder=75 cipherOrder=100 slotParams=(1={slotFlags=[ECC,RSA,DSA,DH,RC2,RC4,DES,RANDOM,SHA1,MD5,MD2,SSL,TLS,AES,Camellia,SEED,SHA256,SHA512] as
kpw=any timeout=30})

library=/usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so
name=System certs

Строчка NSS=trustOrder=110 не обязательна, работает и так

 

[mdo]

Да. Пустая строка обязательна. И пустая строка после то же!!! Держи пятюню