Как принято добавлять свой корневой сертификат в систему, чтобы броузеры не ругались на сертификат, выпущенный на основе добавленного? Положить корневой в /usr/share/ca-certificates, прописать в /etc/ca-certificates, запустить update-ca-certificates - не помогает. Помогает добавить в браузер руками, но это не дело, ибо пользователей порядка пары сотен и ходить ко всем на рабочий стол - замаешься. К тому же, пользователи будут добавляться и неохота еще и у них делать это отдельно.
-- Stanislav