# SSL Zertifikate [solved]

## forrestfunk81

Hallo zusammen,

wie kann ich einem Zertifikat systemweit vertrauen? Ich möchte mein selbstsigniertes Zertifikat hinzufügen.

Ich kenne "/etc/ca-certificates.conf". Die dort gelisteten Zertifikte finden sich unter "/usr/share/ca-certificates/*".  Die Datei ca-certificates.conf ist generiert und da steht Do not edit  :Smile:  Ich vermute mal, dass die beim Update überschrieben wird, außerdem müsste ich dann meine Zertifikate auch unter /usr/share/ca-certificates/ ablegen und die sind dann auch gefährdet bei Updates. Brauch ich eine eigene Certification Authority?

Und welche Programme nutzen welchen Certificate Store? Firefox bringt wohl nen eigenen mit. Ebenso Java. Was ist mit PHP auf Apache?  wget nutzt anscheined die ca-certificates.

Ich komme auf dieses Thema, weil zum einen wget immer meckert. Und auf meinem Server benötige ich aktuell eine PHP Anwendung, die auf meinem Apache läuft und auf eine mit meinem Zertifikat gesicherte Rest API zugreift. Die Anwendung prüft das Zertifikat und schlägt dabei fehl. Ich könnte zwar den Code ändern, aber dann muss ich das beim nächsten Update wieder machen.

----------

## firefly

wiso meinst du das dateine, welche vom paketmanager nicht installiert wurde, unter /usr/share/ca-certificates abgelegt wurden bei einem update gefährdet seien?

----------

## forrestfunk81

Ja, hast natürlich recht. Das sollte nicht überschrieben werden und die /etc/ca-certificates.conf kann man ja beim update mergen. Ich habe mich nur gefragt, ob es sowas wie best practise für dieses Problem gibt.

Ich hab jetzt die ca-certifcates.conf erweitert und einen entsprechenden Link auf meine Zertifikat unter /usr/share/ca-certificates/ angelegt. wget meckert immer noch  :Sad: 

----------

## firefly

hast du auch nach der änderung 

```
update-ca-certificates
```

ausgeführt?

Denn dieses tool werte  /etc/ca-certificates.conf.

laut der man-page von update-ca-certificate werden alle certificate, welche unter  /usr/local/share/ca-certificates auch als "vertraut" in den eigentlichen certificate store aufgenommen

----------

## forrestfunk81

Danke, das hatte ich vergessen.

----------

