Чи є стандарт або умова, де SSL-сертифікати та пов’язані з ними приватні ключі мають працювати у файловій системі UNIX / Linux?
Дякую.
Чи є стандарт або умова, де SSL-сертифікати та пов’язані з ними приватні ключі мають працювати у файловій системі UNIX / Linux?
Дякую.
Відповіді:
Для загальносистемного використання OpenSSL повинен надати вам /etc/ssl/certs
і /etc/ssl/private
. Останній з яких буде обмежено 700
до root:root
.
Якщо у вас додаток не виконує початковий привсеп з root
цього моменту, вам може підійти знайти їх десь локально до програми із відповідними обмеженими правами власності та дозволами.
/etc/ssl/certs
, наскільки я бачу
Тут Go шукає загальнодоступні кореневі сертифікати :
"/etc/ssl/certs/ca-certificates.crt", // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt", // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem", // OpenSUSE
"/etc/pki/tls/cacert.pem", // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7
Також :
"/etc/ssl/certs", // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs", // FreeBSD
"/etc/pki/tls/certs", // Fedora/RHEL
"/etc/openssl/certs", // NetBSD
Це залежить від розподілу до розповсюдження. Наприклад, на примірниках Amazon Linux (на основі RHEL 5.x та частин RHEL6 та сумісних з CentOS) сертифікати зберігаються в, /etc/pki/tls/certs
а ключі зберігаються в /etc/pki/tls/private
. У сертифікатів ЦО є своя директорія /etc/pki/CA/certs
та /etc/pki/CA/private
. Для будь-якого розповсюдження, особливо на розміщених серверах, я рекомендую дотримуватися вже доступної структури каталогів (та дозволів), якщо така є в наявності.
Використовує Ubuntu /etc/ssl/certs
. Він також має команду, з update-ca-certificates
якої буде встановлено сертифікати /usr/local/share/ca-certificates
.
Отже, встановлення в користувальницьких сертифікатів /usr/local/share/ca-certificates
і запуску, update-ca-certificates
здається, рекомендується.
http://manpages.ubuntu.com/manpages/latest/man8/update-ca-certificates.8.html
Якщо ви шукаєте сертифікат, який використовується вашим екземпляром Tomcat
keystoreFile
Атрибут, який містить шлях до файлу зберігання ключів.Це виглядає як
<Connector
protocol="org.apache.coyote.http11.Http11Protocol"
port="8443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="${user.home}/.keystore" keystorePass="changeit"
clientAuth="false" sslProtocol="TLS" />