Farwydi Root CA

Это корневой сертификат приватного центра сертификации кластера rot. Сервисы с сертификатами от issuer-а private-ca будут открываться без предупреждений только на устройствах, где этот корневой сертификат добавлен в доверенные. Устанавливается один раз — дальше все выписанные им сертификаты доверяются автоматически.

Скачать root-ca.crt

Проверка подлинности

SHA-256 отпечаток сертификата:

B5:68:CA:CD:37:5D:AF:D4:ED:95:79:BD:E3:65:31:D7:28:09:34:16:AF:D5:98:7B:AC:36:E0:98:16:1F:C6:97

openssl x509 -in root-ca.crt -noout -fingerprint -sha256

Как установить

iPhone / iPad
  1. Скачай файл в Safari (не в Chrome) — появится «Профиль загружен».
  2. Настройки → Основные → VPN и управление устройством → установи профиль Farwydi Root CA.
  3. Обязательно: Настройки → Основные → Об этом устройстве → Доверие сертификатам → включи «Полное доверие» для Farwydi Root CA.
Android
  1. Скачай root-ca.crt.
  2. Настройки → Безопасность → Шифрование и учётные данные → Установить сертификат → Сертификат ЦС → выбери файл. (Пункты у вендоров называются по-разному — ищи в настройках «сертификат».)
  3. Предупреждение «сеть может отслеживаться» — штатное поведение Android для любых пользовательских CA.
Windows
  1. Двойной клик по root-ca.crt → «Установить сертификат…».
  2. Расположение: Локальный компьютер.
  3. «Поместить все сертификаты в следующее хранилище» → Доверенные корневые центры сертификации.

Или в PowerShell от администратора:

certutil -addstore -f Root root-ca.crt
macOS
  1. Двойной клик по файлу — откроется «Связка ключей» (выбери связку Система).
  2. Найди Farwydi Root CA → двойной клик → Доверие → «Всегда доверять».

Или в терминале:

sudo security add-trusted-cert -d -r trustRoot \
  -k /Library/Keychains/System.keychain root-ca.crt
Linux (Debian / Ubuntu / RHEL) 
# Debian/Ubuntu
sudo cp root-ca.crt /usr/local/share/ca-certificates/farwydi-root-ca.crt
sudo update-ca-certificates

# RHEL/Fedora
sudo cp root-ca.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust
NixOS 
# configuration.nix
security.pki.certificateFiles = [ ./farwydi-root-ca.crt ];

Затем nixos-rebuild switch.

Firefox

У Firefox своё хранилище: Настройки → Приватность и защита → Сертификаты → «Просмотр сертификатов…» → вкладка «Центры сертификации» → «Импортировать…» → отметь «Доверять при идентификации веб-сайтов».

Либо разреши системные корни: about:configsecurity.enterprise_roots.enabled = true.

curl / CLI без установки в систему 
curl --cacert root-ca.crt https://сервис.farwydi.dev/

Для админа: выписать сертификат сервису

В Ingress достаточно аннотации — cert-manager выпишет серт от intermediate автоматически:

metadata:
  annotations:
    cert-manager.io/cluster-issuer: private-ca

Внимание: устанавливай этот сертификат только на собственные устройства. Доверяя root-у, устройство доверяет всем сертификатам, которые выпишет кластер.