Comment ajouter un certificat auto-signé de mon organisation à la liste de confiance?

J'essaie de préparer des serveurs en cours d'exécution Ubuntu 18.04 dans sa compagnie et est entré en collision avec des erreurs telles que

Répondez à une erreur du démon: Get
https://registry-1.docker.io/v2/
: x509: Le certificat signé par une autorité inconnue

Certains lecteurs suggèrent que ma société effectue de nombreux chèques SSL et remplace les certificats. De toute évidence, notre CA racine n'est pas largement connue et ne confesse pas la valeur par défaut, en particulier sur le serveur non préparé. J'ai essayé les étapes suivantes:

openssl s_client -showcerts -verify 5 -connect registry-1.docker.io:443 \
< /dev/null 2>/dev/null | openssl x509 -outform PEM | tee ~/docker.crt
sudo cp docker.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates
sudo service docker restart

Curieusement, cela a fonctionné sur l'un des serveurs, mais pas sur quatre autres. Cela peut être dû au fait que sur le premier serveur, d'autres étapes ont été prises à l'avance non documentées.

Sur un bon serveur, je suis maintenant dans la situation suivante:

openssl s_client -showcerts -servername registry-1.docker.io -CApath /etc/ssl/certs -connect registry-1.docker.io:443 < /dev/null

CONNECTED(00000003)
depth=1 C = RU, O = X5, CN = my.org.com
verify return:1
depth=0 CN = *.docker.io
verify return:1
---
Certificate chain
0 s:/CN=*.docker.io
i:/C=RU/O=X5/CN=my.org.com
-----BEGIN CERTIFICATE-----
MIICrzCCAZegAwIBAgIR... ---snip--- ...
-----END CERTIFICATE-----
1 s:/C=RU/O=X5/CN=my.org.com
i:/C=RU/O=X5/CN=my.org.com
-----BEGIN CERTIFICATE-----
MIIC8jCCAdqgAwIBAgI... ---snip --- ...
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=*.docker.io
issuer=/C=RU/O=X5/CN=my.org.com
---
No client certificate CA names sent
Peer signing digest: SHA256
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1813 bytes and written 331 bytes
Verification: OK
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES128-GCM-SHA256
--- snip ---
Verify return code: 0 (ok)
Extended master secret: no
---
DONE

c'est

presque

Idem sur les mauvais serveurs, sauf:

Vérifiez le code de retour: 19 (Certificat auto-signé dans la chaîne de certificats)

Bien sûr, depuis que notre société agit comme une CA, elle fait la même chose que CA - Signe votre propre certificat. Malheureusement, les commandes ci-dessus n'ont pas forcé le système d'exploitation de faire confiance à ce certificat sur des serveurs Bad, je continue à recevoir le même code d'erreur.

La question se pose: comment ajouter le certificat racine de ma société au stockage de confiance?

Aux fins de la question, supposez que les personnes responsables de InfoSec, Inutile, et il me serait difficile de savoir qui ils sont du tout, sans oublier la réponse d'eux.
Invité:

Pour répondre aux questions, connectez-vous ou registre