Moin,
das Modul verwendet unter der Haube auch nichts weiter als Aufrufe von openssl verify /pfad/zum/Zertifikat.pem. Wenn man das weiß, dann kann man daraus auch ableiten, was man da tun kann: man muss openssl nur das eigene Root-CA als vertrauenswürdiges Zertifikat bekannt geben.
Das geht unter Debian (und damit unter Univention) wie folgt:
- Root-CA-Zertifikat unter
/usr/local/share/ca-certificatesablegen; Dateiname muss mit.crtenden, nicht mit.pem. - Befehl
update-ca-certificatesalsrootausführen.
Anschließend sollten in /etc/ssl/certs symbolische Links existieren, die zu deiner Datei in /usr/local/share/ca-certificates führen; einmal für den Dateinamen selber (hier dann automatisch mit .pem als Endung, übrigens), und einmal oder mehrfach für den Hash des Zertifikats. Beispiel von meiner Installation:
[0 root@master ~] ls /usr/local/share/ca-certificates/
UCS.bs.linet-services.de.crt ucsCA.crt@
[0 root@master ~] ls -l /etc/ssl/certs | grep linet
lrwxrwxrwx 1 root root 28 Jan 11 11:11 2791bc03.0 -> UCS.bs.linet-services.de.pem
lrwxrwxrwx 1 root root 28 Jan 11 11:11 da7b1952.0 -> UCS.bs.linet-services.de.pem
lrwxrwxrwx 1 root root 61 Jan 11 11:11 UCS.bs.linet-services.de.pem -> /usr/local/share/ca-certificates/UCS.bs.linet-services.de.crt
Nun sollte auch das hier funktionieren: openssl verify /pfad/zum/Zertifikat.pem.
Ich hab das allerdings nicht wirklich mit dem System-Check-Modul ausprobiert, weil ich momentan keine Testmaschine habe, auf der ich das Root-CA ersetzen könnte oder wollen würde.
Gruß
mosu