Как известно, в рамках «санкционной войны» в 2022 году часть российских окологосударственных сайтов лишилась возможности использовать западные SSL-сертификаты на своих доменах. В ответ на что Минцифры организовало выпуск SSL-сертификатов на базе собственного центра сертификации.
Естественно, корневой сертификат от Минцифры в данный момент не поддерживается по умолчанию ни в одной системе — и для работы с сайтами, использующими подобный сертификат, нужно либо вручную устанавливать корневой сертификат, либо переходить на использование российских браузеров — Atom от Mail.Ru или Яндекс.Браузера от Яндекса.
В десктопных системах установить корневой сертификат довольно легко — пошаговые инструкции уже есть в открытом доступе, но в случае с Linux-системами все несколько сложнее. А ведь под Linux тоже может потребоваться обращаться к какому-либо защищенному российским SSL-сертификатом сайту и получать с него какое-то содержимое.
Поэтому ниже я привожу инструкцию по установке российского корневого сертификата на удаленный компьютер под управлением Linux.
Установка корневого сертификата Минцифры
В качестве тестовой машины я буду использовать тот самый нидерландский VPS, на котором работает мой приватный VPN-сервер. Очевидно, что никаких корневых сертификатов от Минцифры в установленном на нем дистрибутиве Ubuntu по умолчанию нет.
Убедимся в этом, попытавшись обратиться к сайту Сбербанка:
wget https://www.sberbank.ru
На что закономерно получаем сообщение об ошибке:
Теперь скачаем файлы корневого сертификата:
cd ~ mkdir /usr/local/share/ca-certificates/russian_trusted cd /usr/local/share/ca-certificates/russian_trusted wget https://gu-st.ru/content/lending/russian_trusted_root_ca_pem.crt wget https://gu-st.ru/content/lending/russian_trusted_sub_ca_pem.crt
И выполним команду на обновление списка корневых сертификатов:
update-ca-certificates -v
После чего попробуем еще раз обратиться к сайту Сбербанка:
wget https://www.sberbank.ru
И увидим, что wget уже не ругается на невозможность проверить достоверность сертификата, а успешно соединяется с сайтом и скачивает содержимое страницы:
Заключение
После установки корневого сертификата Минцифры компьютер под управлением Linux сможет устанавливать защищенные https-соединения с использующими российские SSL-сертификаты сайтами и получать с них контент.
Возможно когда-то в будущем российские корневые сертификаты будут устанавливаться в популярные ОС по умолчанию и эта инструкция потеряет актуальность, но пока для этого нет абсолютно никаких предпосылок.
Дмитрий, спасибо за статьи. Читал много разных авторов, Вы первый, где я понял всё и сразу и не приходилось что-то искать в сети. Статьи самодостаточны, без сленга програмистов (его использует только определённый контингент). Я хотел бы у Вас проконсультироваться. Я инженер, до 2020г руководил направлениями ЭОМ и СС на объектах разного типа, от международных колледжей и бизнес-ЖК, до РОНЦ, лабараторий по синтезулекарств и пр… Сейчас я в свободном плаваньи занимаюсь изучением ПО и характеристиками железа. Вопрос такой: можно ли построить на базе ARM или mini/micro ITX замкнутую систему с ОС Linux которая будет управлять сбором данных с КИП (инженерка квартиры или дома) и выдавать её и в виде приятной картинки на монитор
типа виджета, и в в виде консоли управления через веб-интерфейс или что-то ещё. Суть – заменить контроллеры Сименс и пр. (именно на контроллерах я всегда строил BMS) использовать доступный софт (но не где-то в облаке) и открытый протокол обмена данными, но при этом сохранить безопасность доступа и полную независимость от внешних факторов. Собрал — прописал логику — настроил — протестировал — запустил в работу. При необходимости добавил любой доп.модуль. Хвалёный Ардунио — это слишком топорно.
Заранее благодарен!