是否可以在 Debian 上安装没有 ca-certificates 包的自定义 CA 证书？

update-ca-certificates实际上是一个shell脚本。您可以阅读它并根据您的需要调整其中的一部分。

简而言之：当update-ca-certificates添加证书时，它会创建一个/etc/ssl/certs/指向 PEM 格式证书文件的符号链接。update-ca-certificates期望 CA 证书位于带有*.crt后缀的 PEM 格式文件中，并且链接名称的后缀将*.pem改为：so/etc/ssl/certs/<somename>.pem将链接到/elsewhere/<somename>.crt.

OpenSSL 要求包含受信任 CA 证书的目录可以通过其哈希访问它们，因此在该/etc/ssl/certs/目录中，将创建另一个符号链接：<certificate hash>.0 -> <somename>.pem. <certificate hash>可以手动计算：

openssl x509 -in <certificate PEM file> -noout -hash

如果另一个证书具有相同的哈希，则该.0部分将递增到.1，然后递增到.2等等，直到可以找到唯一的名称。这种散列不是一种安全机制：它只是允许 OpenSSL 在验证证书时通过其散列快速找到所需的 CA 证书。

或者，cd /etc/ssl/certs; openssl rehash .可用于为该目录中的所有证书创建哈希符号链接。

/etc/ssl/certificates/ca-certificates.crt对于那些只接受其受信任 CA 证书列表作为单个文件的程序，新证书 PEM 文件的内容也将附加到. 如果 PEM 格式的证书缺少其尾随换行符，则脚本将在将证书附加到ca-certificates.crt.

该update-ca-certificates脚本还将运行放置在/etc/ca-certificates/update.d/.

如果您安装了任何.dpkg-packaged 版本的 Java，很可能会有一个名为/etc/ca-certificates/update.d/jks-keystoredrop 的 Java 包的脚本，该脚本将类似地更新位于 的 Java 密钥库文件/etc/ssl/certs/java/cacerts，因此它也将包含与 OpenSSL CA 完全相同的证书证书目录/etc/ssl/certs或文件/etc/ssl/certs/ca-certificates.crt.

已编辑

• 复制my_own_ca.crt到/usr/local/share/ca-certificates
• 运行脚本update-ca-certificates

update-ca-certificates创建必要的 simlink 并更新 /etc/ssl/certs/ca-certificates.crt文件。Linux 实用工具喜欢wget或curl默认将此文件用作 CA 文件。

或者找到指定 CA 文件的开关或禁用检查证书的开关。对于 wget 它是：

• wget --no-check-certificate- 用于禁用 CA 检查
• wget --ca-certificate=file- 使用文件作为带有证书授权包（“CA”）的文件来验证对等点。证书必须为 PEM 格式。

例子

复制自己的 cacrt后缀为/usr/local/share/ca-certificates

/usr/local/share/ca-certificates# ls -alFh
celkem 16K
drwxrwsr-x 2 root staff 4,0K úno  5 13:02 ./
drwxrwsr-x 7 root staff 4,0K kvě  7  2014 ../
-rw-r--r-- 1 root staff 1,5K úno  5 13:02 thawte-Primary-Root-CA-G3.crt
-rw-r--r-- 1 root staff 1,7K úno  5 13:01 thawte-SHA256-ssl-ca.crt

跑update-ca-certificates

/usr/local/share/ca-certificates# update-ca-certificates 
Updating certificates in /etc/ssl/certs... WARNING: Skipping duplicate certificate thawte-Primary-Root-CA-G3.pem
WARNING: Skipping duplicate certificate thawte-Primary-Root-CA-G3.pem
WARNING: Skipping duplicate certificate thawte-primary-root.pem
WARNING: Skipping duplicate certificate thawte-primary-root.pem
2 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....done.

核实：

/etc/ssl/certs# ls -alFh | grep local
lrwxrwxrwx 1 root root   62 úno  5 13:03 thawte-Primary-Root-CA-G3.pem -> /usr/local/share/ca-certificates/thawte-Primary-Root-CA-G3.crt
lrwxrwxrwx 1 root root   57 úno  5 13:03 thawte-SHA256-ssl-ca.pem -> /usr/local/share/ca-certificates/thawte-SHA256-ssl-ca.crt

/etc/ssl/certs# openssl crl2pkcs7 -nocrl -certfile /etc/ssl/certs/ca-certificates.crt | openssl pkcs7 -print_certs -noout

subject=/CN=ACEDICOM Root/OU=PKI/O=EDICOM/C=ES
issuer=/CN=ACEDICOM Root/OU=PKI/O=EDICOM/C=ES

subject=/C=CO/O=Sociedad Cameral de Certificaci\xC3\xB3n Digital - Certic\xC3\xA1mara S.A./CN=AC Ra\xC3\xADz Certic\xC3\xA1mara S.A.
issuer=/C=CO/O=Sociedad Cameral de Certificaci\xC3\xB3n Digital - Certic\xC3\xA1mara S.A./CN=AC Ra\xC3\xADz Certic\xC3\xA1mara S.A.

subject=/C=IT/L=Milan/O=Actalis S.p.A./03358520967/CN=Actalis Authentication Root CA
issuer=/C=IT/L=Milan/O=Actalis S.p.A./03358520967/CN=Actalis Authentication Root CA

subject=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
issuer=/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

...

Find your CA