Eigene CA unter Linux in Chrome einbinden

Ziel

Einbindung einer eigenen Zertifizierungsstelle (CA), damit Chrome unter Linux diese als vertrauenswürdig akzeptiert.

Problem

Chrome verwendet unter Linux nicht den systemweiten Zertifikatsspeicher unter /etc/ssl/certs, sondern eine eigene NSS-Datenbank im Benutzerverzeichnis. Daher funktioniert update-ca-certificates nicht für Chrome.

== Voraussetzungen

• apt install libnss3-tools

== NSS-Zertifikatsspeicher initialisieren

• mkdir -p ~/.pki/nssdb
• certutil -N -d sql:$HOME/.pki/nssdb

Wenn ein Passwort abgefragt wird, einfach Enter drücken (kein Passwort erforderlich).

== CA-Zertifikat importieren

Angenommen, die Datei ca.crt liegt im Home-Verzeichnis.

• certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n "Meine-CA" -i ~/ca.crt

== Import überprüfen

• certutil -L -d sql:$HOME/.pki/nssdb

Der Name "Meine-CA" sollte in der Liste erscheinen.

== Chrome neu starten

• pkill chrome

Chrome danach neu öffnen. Die eigene CA wird nun akzeptiert.