Розташування сертифіката SSL в UNIX / Linux


114

Чи є стандарт або умова, де SSL-сертифікати та пов’язані з ними приватні ключі мають працювати у файловій системі UNIX / Linux?

Дякую.

Відповіді:


90

Для загальносистемного використання OpenSSL повинен надати вам /etc/ssl/certsі /etc/ssl/private. Останній з яких буде обмежено 700до root:root.

Якщо у вас додаток не виконує початковий привсеп з rootцього моменту, вам може підійти знайти їх десь локально до програми із відповідними обмеженими правами власності та дозволами.


4
це десь стандартизовано? Стандарт ієрархії файлової системи не містить його.
cweiske

1
@cweiske Це, здається, є історичною конвенцією OpenSSL, формально не стандартизованою, і, на мою думку, дуже громіздкою. Мій найдавніший слід - це версія: rpm.pbone.net/index.php3/stat/4/idpl/38501/dir/redhat_other/com/…
kubanczyk

6
Варто зазначити, що це лише дистрибутивні програми на основі Debian.
Джошуа Гріффітс

2
Чи можу я зберігати сертифікати SSL (наприклад, Давайте шифрувати або Cloudflare) для веб-сайтів і тут? Дякую!
Владислав Турак

1
Arch і CentOS також зберігають відомості /etc/ssl/certs, наскільки я бачу
theferrit32

50

Тут Go шукає загальнодоступні кореневі сертифікати :

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

Також :

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD

14

Це залежить від розподілу до розповсюдження. Наприклад, на примірниках Amazon Linux (на основі RHEL 5.x та частин RHEL6 та сумісних з CentOS) сертифікати зберігаються в, /etc/pki/tls/certsа ключі зберігаються в /etc/pki/tls/private. У сертифікатів ЦО є своя директорія /etc/pki/CA/certsта /etc/pki/CA/private. Для будь-якого розповсюдження, особливо на розміщених серверах, я рекомендую дотримуватися вже доступної структури каталогів (та дозволів), якщо така є в наявності.


1
Те саме і для CentOS7, дякую.
Джейкоб Еванс

1

Використовує Ubuntu /etc/ssl/certs. Він також має команду, з update-ca-certificatesякої буде встановлено сертифікати /usr/local/share/ca-certificates.

Отже, встановлення в користувальницьких сертифікатів /usr/local/share/ca-certificatesі запуску, update-ca-certificatesздається, рекомендується.

http://manpages.ubuntu.com/manpages/latest/man8/update-ca-certificates.8.html


-1

Якщо ви шукаєте сертифікат, який використовується вашим екземпляром Tomcat

  1. Відкрийте файл server.xml
  2. Шукайте роз'єм SSL / TLS
  3. Див. keystoreFileАтрибут, який містить шлях до файлу зберігання ключів.

Це виглядає як

<Connector
    protocol="org.apache.coyote.http11.Http11Protocol"
    port="8443" maxThreads="200"
    scheme="https" secure="true" SSLEnabled="true"
    keystoreFile="${user.home}/.keystore" keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.