Подробный гайд: Установка корневого сертификата в Astra Linux: как убрать сообщение об ошибке

Подробный гайд: Установка корневого сертификата в Astra Linux: как убрать сообщение об ошибке Установка корневого сертификата в Astra Linux и устранение предупреждений о ненадежном соединении — задача распространенная, особенно при работе с внутренними ресурсами или системами, использующими отечественную криптографию (ГОСТ).

Ниже представлен подробный пошаговый гайд. Предупреждение («Ваше подключение не защищено» или «Сертификат не является доверенным») обычно появляется в браузере или терминале, потому что система или приложение не знают о существовании вашего удостоверяющего центра (УЦ).

Этап 1: Подготовка файла сертификата

1. Убедитесь, что у вас есть файл корневого сертификата.

2. Важно:

Для системной установки файл должен быть в формате PEM (текстовый формат) и иметь расширение .crt.
* Если ваш файл имеет расширение .cer или .der (бинарный формат), его нужно конвертировать.

Откройте терминал и выполните:

     openssl x509 -inform der -in ваш_сертификат.cer -out root_cert.crt

• Если файл уже текстовый (откройте его в текстовом редакторе, он должен начинаться с -----BEGIN CERTIFICATE-----), просто переименуйте его в root_cert.crt.

Этап 2: Системная установка сертификата (для всей ОС)

Этот шаг добавит сертификат в системное хранилище доверенных корневых сертификатов.

Это поможет таким утилитам, как curl, wget, и некоторым приложениям. 1. Откройте терминал.

2. Скопируйте файл сертификата в специальную директорию (потребуется пароль администратора):

   sudo cp root_cert.crt /usr/local/share/ca-certificates/

(Замените root_cert.crt на реальное имя вашего файла).

3. Обновите хранилище сертификатов командой:

   sudo update-ca-certificates

4. В выводе команды вы должны увидеть строку вроде: 1 added (1 добавлен). Если написано 0 added, проверьте, что файл лежит в нужной папке и имеет расширение .crt.

Этап 3: Установка сертификата в браузер (Самый важный шаг для убирания сообщения)

Системная установка (Этап 2) не всегда автоматически применяется к браузерам, особенно к Firefox. Сообщения об ошибке чаще всего возникают именно там.

Вариант А: Для браузера Chromium-Gost (стандартный для Astra Linux)

Chromium-Gost обычно использует системное хранилище, но иногда требует явного указания.

1. Откройте Chromium-Gost.
2. Перейдите в Настройки (три точки справа сверху) → Конфиденциальность и безопасность → Безопасность.
3. Прокрутите вниз и нажмите Управление сертификатами (Manage certificates).
4. Перейдите на вкладку Центры сертификации (Authorities).
5. Нажмите кнопку Импорт (Import).
6. Выберите ваш файл root_cert.crt.
7. КРИТИЧЕСКИ ВАЖНО: В появившемся окне поставьте галочку напротив пункта «Доверять этому центру сертификации при идентификации веб-сайтов» (Trust this CA to identify websites).
8. Нажмите ОК. Перезапустите браузер.

Вариант Б: Для браузера Mozilla Firefox

Firefox использует собственное, изолированное хранилище сертификатов.

1. Откройте Firefox.
2. Перейдите в Настройки → Приватность и защита.
3. Прокрутите в самый низ до раздела Сертификаты.
4. Нажмите кнопку Просмотр сертификатов...
5. Перейдите на вкладку Центры сертификации.
6. Нажмите Импорт... и выберите ваш root_cert.crt.
7. КРИТИЧЕСКИ ВАЖНО: В появившемся окне поставьте галочку «Доверять этому центру сертификации при идентификации веб-сайтов».
8. Нажмите ОК. Перезапустите Firefox.

Этап 4: Что делать, если сообщение всё равно не исчезло?

Если вы всё сделали, но предупреждение остается, проверьте следующие моменты:

1. Неполная цепочка сертификатов. Возможно, вы установили только корневой сертификат, но на сервере не настроена отдача промежуточных сертификатов. Попробуйте импортировать не только корневой, но и промежуточный сертификат (если он есть) по той же инструкции.

2. Несоответствие имени (Domain Mismatch). Сертификат выдан, например, на server.local, а вы заходите на 192.168.1.10 или server.local.domain. Браузер будет ругаться, даже если сертификат доверенный, так как адреса не совпадают. Решение: заходить строго по тому имени, которое указано в сертификате (поле CN или SAN).

3. Кэш браузера. Полностью закройте браузер (убедитесь, что он не висит в фоне) и откройте снова. Можно также попробовать открыть сайт в режиме инкогнито для проверки.

4. Особенности ГОСТ. Если вы используете сайт с ГОСТ-шифрованием, убедитесь, что вы используете именно Chromium-Gost или специальную сборку Firefox с поддержкой ГОСТ, а также что в системе установлены пакеты lcp-iclient или аналоги (в зависимости от вашей версии Astra Linux и требований ИБ).

Дополнительная информация (для разработчиков/админов)

Если предупреждение выдает не браузер, а скрипт (например, curl), и вы хотите временно отключить проверку (нельзя использовать в реальной (боевой) среде, но полезно для отладки), ....

можно использовать ключ:

curl -k https://ваш-сайт.ru

Но правильное решение — именно установка сертификата через update-ca-certificates, как описано в Этапе 2.

Информация предоставлена в ознакомительных целях. Применение описанных настроек в системах, должно осуществляться только после согласования с ответственными за информационную безопасность и в соответствии с требованиями ФСТЭК, ФСБ и иных уполномоченных органов.