Хранилище сертификатов ЦС Fedora Server 37 наиболее эквивалентно LocalMachine\root.

Хранилище сертификатов CA Fedora Server 37 наиболее эквивалентно LocalMachine\root в среде Windows?

Справочные примечания: у меня большой опыт работы в области управления сертификатами Windows, но Fedora Server — это что-то вроде нового зверя. Я изучаю нюансы такого опыта, как certutil, который я недавно настроил, и мне удалось заставить работать (благодаря чистой силе воли и решимости, многочисленным бессонным ночам, связанным с поиском по sealert и ldap/sssd в Google, буквально) механизм входа на основе ldap. Теперь я хотел бы убедиться, что я действительно установил вещи туда, куда им нужно, поэтому я хочу убедиться, что я поместил сертификаты туда, где они должны быть.

В интересах правильного длинного хвоста я хотел бы добавить отдельный вопрос для каждого из хранилищ типов LocalMachine\my и LocalMachine\root, LocalMachine\ca, но мы также можем перечислить эквиваленты здесь.

Целевая цель:

1. Я получил сертификат LetsEncrypt. По мере его обновления я хотел бы обновить этот сертификат по мере необходимости в соответствующей папке, чтобы гарантировать, что моя цепочка подписи остается актуальной для служб, которые я использую, и хотел бы использовать наиболее централизованное расположение системы, которое я могу.
2. Я хотел бы избежать необходимости вручную определять, где найти файлы в файле конфигурации каждой службы, вместо этого позволив встроенной структуре цепочки автоматически находить необходимые сертификаты в ожидаемых местоположениях по умолчанию.
   1. Это предполагает, что все программное обеспечение, созданное для этого дистрибутива, ожидает найти сертификаты в одних и тех же общих папках. Я знаю, это воображение.
   2. С другой стороны, я хотел бы использовать одно и то же местоположение для каждой конфигурации сертификата вместо использования папок для конкретных приложений.
3. Я хотел бы, чтобы пользователи, которым необходимо ссылаться на общедоступные файлы Let's Encrypt, также имели доступ к тем же общедоступным сертификатам.
4. Удалите пользовательскую конфигурацию в /etc/openldap/ldap.conf, /etc/sssd/sssd.conf и т. д., для которой могут потребоваться общие сертификаты.
5. По возможности избегайте использования certutil для копирования файлов в локальные базы данных сертификатов приложений.

Данный:

• Сервер Федоры 37
• Коллекция сертификатов LetsEncrypt в /etc/letsencrypt/live//
• Настроен /etc/openldap/ldap.conf.
  • Предположительно, это выходит за рамки этого вопроса, я создам новый пост, как только правильно настрою этот пост.
• Настроен /etc/sssd/sssd.conf
  • Предположительно, это выходит за рамки этого вопроса, я создам новый пост, как только правильно настрою этот пост.

Я думаю , что я хочу поместить следующие файлы в следующие папки:

• /etc/letsencrypt/live//chain.cert
  • Эквивалент в Windows: LocalMachine\TrustRoot (промежуточные центры сертификации)
  • скопируйте в /etc/pki/CA/certs
• /etc/letsencrypt/live//fullchain.cert
  • Эквивалент в Windows: LocalMachine\Root (доверенные корневые центры сертификации)
  • Поскольку это Let's Encrypt, похоже, что в дистрибутиве Fedora Server 37 уже есть корневой файл IG_Root_X1.pem, который мне нужен здесь.
  • скопируйте в /etc/pki/ca-trust/source/anchors/
  • скопируйте в /usr/share/pki/ca-trust-source/anchors/
  • бегатьupdate_ca_trust extractчтобы позволить ему извлекать оба набора сертификатов в соответствующие хранилища
• здесь какая-то волшебная строка

Вопросы:

1. Сделал ли я правильные предположения выше?
2. Нужно ли добавлять какие-либо команды после копирования каких-либо файлов в указанные выше места?
3. Чтоrestoreconнужно ли мне запускать команду после копирования файлов или запуска update_ca_trust?
4. Должно ли быть достаточно символических ссылок в соответствующих местах, как только я сделаю это для любых приложений, требующих размещения сертификата в другом месте, или мне, вероятно, придется вернуться к certutil в соответствующую папку?