В работе с Linux-серверами и рабочими станциями довольно часто возникает ситуация, когда системе нужно доверять определенному сертификату. Это может быть корпоративный центр сертификации, самоподписанный сертификат для внутреннего сервиса, прокси с TLS-инспекцией или просто тестовая инфраструктура. Если сертификат не установлен корректно, вы сталкиваетесь с ошибками TLS, проблемами при работе с curl, apt, браузерами или серверными приложениями.
В Ubuntu управление сертификатами устроено достаточно логично, но не всегда очевидно для тех, кто сталкивается с этим впервые. Разберёмся, как всё работает и как правильно устанавливать сертификаты в систему.
По промокоду DZEN вы получите скидку на заказ VPS или dedicated от UFO.Hosting. С этим кодом вы сможете запустить свои проекты на надежной и производительной платформе, готовой к любым нагрузкам.
Как Ubuntu работает с доверенными сертификатами
Ubuntu использует централизованное хранилище доверенных корневых сертификатов. Оно применяется сразу несколькими компонентами системы: системными утилитами, менеджером пакетов, большинством серверных приложений и библиотек.
В основе лежит набор сертификатов центров сертификации, которым система по умолчанию доверяет. Эти сертификаты хранятся в виде файлов и регулярно обновляются через стандартные пакеты. Если вы добавляете свой сертификат в это хранилище, Ubuntu начинает считать его доверенным на уровне всей системы.
Важно понимать: установка сертификата в систему — это не то же самое, что установка сертификата в браузер. Браузеры могут иметь собственные хранилища, но системные утилиты ориентируются именно на системный список доверия.
Подготовка сертификата
Обычно сертификат приходит в одном из распространённых форматов:
- .crt
- .cer
- .pem
Для Ubuntu предпочтителен формат PEM. Если сертификат у вас в другом виде, чаще всего его можно просто переименовать или конвертировать.
Главное, чтобы сертификат должен быть корневым или промежуточным, а не сертификатом конкретного сайта. Добавлять серверный сертификат в доверенные CA — распространённая ошибка.
Установка сертификата в систему
В Ubuntu предусмотрен простой и правильный механизм добавления собственных сертификатов.
Сначала сертификат нужно поместить в специальный каталог:
sudo cp your-cert.crt /usr/local/share/ca-certificates/
Имя файла может быть любым, но расширение .crt обязательно. Именно по нему система понимает, что файл нужно обработать.
После этого необходимо обновить хранилище сертификатов:
sudo update-ca-certificates
Эта команда просканирует каталог, добавит новый сертификат и пересобирает общий список доверия.
Если в процессе вы увидите вывод о том, какие сертификаты были добавлены, то это хороший знак. Значит, что все прошло корректно.
С этого момента сертификат считается доверенным на уровне всей системы.
Проверка результата
После установки имеет смысл убедиться, что сертификат действительно используется.
Проще всего проверить работу утилит, которые раньше ругались на отсутствие сертификата и выдавали ошибки. Например, если раньше curl отказывался подключаться к серверу с TLS-ошибкой, повторите запрос:
curl https://your-internal-service.local
Если сертификат установлен правильно, предупреждений быть не должно.
Также можно проверить наличие сертификата в системном хранилище:
ls /etc/ssl/certs | grep your-cert
Ubuntu создаёт символьные ссылки на добавленные сертификаты, и по имени файла их обычно легко найти.
Итог
Установка сертификатов в Ubuntu — это несложная и предсказуемая процедура, если понимать общую логику работы системы. Всё сводится к добавлению нужного CA-сертификата в правильный каталог и обновлению хранилища. Такой подход позволяет один раз настроить доверие и избежать множества проблем с HTTPS, пакетными менеджерами и внутренними сервисами.
Если вы работаете с серверами, корпоративными сетями или тестовыми окружениями, умение правильно устанавливать сертификаты в систему экономит время и избавляет от лишней отладки в будущем.