Установка российских корневых сертификатов в Linux (Debian, Ubuntu)

Как установить российский корневой сертификат в Linux

Дата Автор 1 комментарий 1 272 просмотров

Как известно, в рамках «санкционной войны» в 2022 году часть российских окологосударственных сайтов лишилась возможности использовать западные SSL-сертификаты на своих доменах. В ответ на что Минцифры организовало выпуск SSL-сертификатов на базе собственного центра сертификации.

Естественно, корневой сертификат от Минцифры в данный момент не поддерживается по умолчанию ни в одной системе — и для работы с сайтами, использующими подобный сертификат, нужно либо вручную устанавливать корневой сертификат, либо переходить на использование российских браузеров — Atom от Mail.Ru или Яндекс.Браузера от Яндекса.

Почему-то не может наше окологосударственное IT создавать простые и масштабируемые решения для людей. Если «свой ютуб» — то непременно с ручной премодерацией загружаемых записей (видимо чтобы он никогда не стал массовым и популярным). Если «отечественный SSL-сертификат», то только для доменов, оформленных на юрлицо, да еще и в течение 5 рабочих дней. Грустно все это.

В десктопных системах установить корневой сертификат довольно легко — пошаговые инструкции уже есть в открытом доступе, но в случае с Linux-системами все несколько сложнее. А ведь под Linux тоже может потребоваться обращаться к какому-либо защищенному российским SSL-сертификатом сайту и получать с него какое-то содержимое.

Поэтому ниже я привожу инструкцию по установке российского корневого сертификата на удаленный компьютер под управлением Linux.

Установка корневого сертификата Минцифры

В качестве тестовой машины я буду использовать тот самый нидерландский VPS, на котором работает мой приватный VPN-сервер. Очевидно, что никаких корневых сертификатов от Минцифры в установленном на нем дистрибутиве Ubuntu по умолчанию нет.

Убедимся в этом, попытавшись обратиться к сайту Сбербанка:

wget https://www.sberbank.ru

На что закономерно получаем сообщение об ошибке:
Установка российских корневых сертификатов в Linux (Debian, Ubuntu)

Теперь скачаем файлы корневого сертификата:

cd ~
mkdir /usr/local/share/ca-certificates/russian_trusted
cd /usr/local/share/ca-certificates/russian_trusted
wget https://gu-st.ru/content/lending/russian_trusted_root_ca_pem.crt
wget https://gu-st.ru/content/lending/russian_trusted_sub_ca_pem.crt

И выполним команду на обновление списка корневых сертификатов:

update-ca-certificates -v

После чего попробуем еще раз обратиться к сайту Сбербанка:

wget https://www.sberbank.ru

И увидим, что wget уже не ругается на невозможность проверить достоверность сертификата, а успешно соединяется с сайтом и скачивает содержимое страницы:
Установка российских корневых сертификатов в Linux (Debian, Ubuntu)

Заключение

После установки корневого сертификата Минцифры компьютер под управлением Linux сможет устанавливать защищенные https-соединения с использующими российские SSL-сертификаты сайтами и получать с них контент.

Возможно когда-то в будущем российские корневые сертификаты будут устанавливаться в популярные ОС по умолчанию и эта инструкция потеряет актуальность, но пока для этого нет абсолютно никаких предпосылок.

Автор статьи:
Дмитрий
Руководитель отдела в IT-компании. Веду этот блог с 2013 года, пишу о гаджетах и домашней автоматизации, обозреваю одноплатные компьютеры, неспешно собираю «умный дом».

Один комментарий на «Как установить российский корневой сертификат в Linux»

  1. Дмитрий, спасибо за статьи. Читал много разных авторов, Вы первый, где я понял всё и сразу и не приходилось что-то искать в сети. Статьи самодостаточны, без сленга програмистов (его использует только определённый контингент). Я хотел бы у Вас проконсультироваться. Я инженер, до 2020г руководил направлениями ЭОМ и СС на объектах разного типа, от международных колледжей и бизнес-ЖК, до РОНЦ, лабараторий по синтезулекарств и пр… Сейчас я в свободном плаваньи занимаюсь изучением ПО и характеристиками железа. Вопрос такой: можно ли построить на базе ARM или mini/micro ITX замкнутую систему с ОС Linux которая будет управлять сбором данных с КИП (инженерка квартиры или дома) и выдавать её и в виде приятной картинки на монитор
    типа виджета, и в в виде консоли управления через веб-интерфейс или что-то ещё. Суть – заменить контроллеры Сименс и пр. (именно на контроллерах я всегда строил BMS) использовать доступный софт (но не где-то в облаке) и открытый протокол обмена данными, но при этом сохранить безопасность доступа и полную независимость от внешних факторов. Собрал — прописал логику — настроил — протестировал — запустил в работу. При необходимости добавил любой доп.модуль. Хвалёный Ардунио — это слишком топорно.
    Заранее благодарен!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

[Хамство, оскорбления и попытки крауд-маркетинга будут удалены]