将内部CA部署到linux客户端

我有大量运行RedHat Enterprise Linux 5和6的工作站。我想将新的内部CA（活动目录）部署到这些机器上。我可以将证书手动导入Firefox 10，没有任何问题，但似乎找不到在文件系统上存储.cer文件的位置，以便FireFox和Google Chrome使用它。这两个浏览器都使用受信任的CA的中心位置吗？

如果没有，我会选择一种更自动化的方法来让FireFox接受我的CA。

我尝试过的东西

• 使用Mozilla提供的certutil-但这似乎只处理客户端证书，除非我弄错了。
• 修改/etc/pki/tls/ca-bundle.crt包含在ca-certificates包装中。Firefox似乎不支持该文件。

对于Firefox：FF将证书存储在用户配置文件中，您必须在每个框上为每个配置文件导入证书。对于受信任的CA，证书应为PEM格式，并使用以下certutil命令（nss-tools在RedHat的软件包中提供）导入：

您可以使用此命令列出证书：

certutil -L -d ~/.mozilla/firefox/[profile]

然后，可以使用以下命令导入证书：

certutil -A -n 'Certificate Name' -t CT,, -d ~/.mozilla/firefox/[profile] < /path/to/certificate.pem

有关详细信息，请参见http://www.dzhang.com/blog/2011/01/29/importing-exporting-firefox-certificates-from-命令行。

根据Chrome维基，您可以使用certutil来获取Chrome。我不知道这是否也适用于股票铬。

只需编写少量脚本，就可以在此环境中自动部署AD证书颁发机构。