it-swarm-vi.tech

Vị trí chứng chỉ SSL trên UNIX / Linux

Có bất kỳ tiêu chuẩn hoặc quy ước nào về việc chứng chỉ SSL và khóa riêng được liên kết sẽ đi trên hệ thống tệp UNIX/Linux không?

121
John Topley

Để sử dụng rộng rãi hệ thống, OpenSSL sẽ cung cấp cho bạn /etc/ssl/certs/etc/ssl/private. Cái sau sẽ bị hạn chế 700 đến root:root.

Nếu bạn có một ứng dụng không thực hiện quyền riêng tư ban đầu từ root thì ứng dụng đó có thể phù hợp với bạn để xác định vị trí của chúng ở đâu đó trong ứng dụng với quyền sở hữu và quyền hạn chế có liên quan.

96
Dan Carley

Đây là nơi Go tìm kiếm chứng chỉ gốc công khai :

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

Ngoài ra :

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD
60
Timmmm

Điều này sẽ thay đổi từ phân phối để phân phối. Ví dụ: trên các phiên bản Amazon Linux (dựa trên RHEL 5.x và các bộ phận của RHEL6 và tương thích với CentOS), các chứng chỉ được lưu trữ trong /etc/pki/tls/certs và các khóa được lưu trong /etc/pki/tls/private. Chứng chỉ CA có thư mục riêng, /etc/pki/CA/certs/etc/pki/CA/private. Đối với bất kỳ phân phối nhất định, đặc biệt là trên các máy chủ được lưu trữ, tôi khuyên bạn nên tuân theo cấu trúc thư mục (và quyền) đã có sẵn, nếu có sẵn.

16
vallismortis

Ubuntu sử dụng /etc/ssl/certs. Nó cũng có lệnh update-ca-certificates sẽ cài đặt chứng chỉ từ /usr/local/share/ca-certificates.

Vì vậy, cài đặt chứng chỉ tùy chỉnh của bạn trong /usr/local/share/ca-certificates và chạy update-ca-certificates dường như được đề nghị.

http://manpages.ubfox.com/manpages/latest/man8/update-ca-certert.8.html

2
Jonah Braun