Вопрос: Расположение сертификата SSL в UNIX / Linux


Есть ли какой-либо стандарт или соглашение о том, где сертификаты SSL и связанные с ними закрытые ключи должны идти в файловой системе UNIX / Linux?

Благодарю.


83
2017-09-04 15:57


Источник




Ответы:


Для системного использования OpenSSL должен предоставить вам /etc/ssl/certs а также /etc/ssl/private, Последний из которых будет ограничен 700 в root:root,

Если у вас есть приложение, не выполняющее начальный root то вам может потребоваться найти их где-то локально для приложения с соответствующим ограничением владения и разрешениями.


67
2017-09-04 16:07



Я действительно благодарен Дэну. - John Topley
это стандартизировано где-то? Стандарт иерархии файловой системы не содержит его. - cweiske
@cweiske Это, по-видимому, историческое соглашение OpenSSL, формально стандартизованное и очень громоздкое, на мой взгляд. Мой самый ранний след - это эта версия: rpm.pbone.net/index.php3/stat/4/idpl/38501/dir/redhat_other/com/... - kubanczyk
Стоит отметить, что это только дистрибутивы на базе Debian. - Joshua Griffiths
Могу ли я хранить SSL-сертификаты (например, Let's Encrypt или Cloudflare) для сайтов здесь? Благодаря! - Vladyslav Turak


Здесь Go ищет общедоступные корневые сертификаты:

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

Также:

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD

27
2017-09-16 08:06





Это будет варьироваться от распределения к распределению. Например, в экземплярах Amazon Linux (на основе RHEL 5.x и частей RHEL6 и совместимых с CentOS) сертификаты хранятся в /etc/pki/tls/certs и ключи хранятся в /etc/pki/tls/private, У сертификатов CA есть свой собственный каталог, /etc/pki/CA/certs а также /etc/pki/CA/private, Для любого данного дистрибутива, особенно на размещенных серверах, я рекомендую следить за уже доступной структурой каталогов (и разрешений), если таковая имеется.


10
2018-06-18 23:37



То же самое для CentOS7, спасибо. - Jacob Evans


Если вы ищете сертификат, используемый вашим экземпляром Tomcat

  1. Откройте файл server.xml
  2. Поиск соединителя SSL / TLS
  3. Видеть keystoreFile атрибут, который содержит путь к файлу хранилища ключей.

Это выглядит как

<Connector
    protocol="org.apache.coyote.http11.Http11Protocol"
    port="8443" maxThreads="200"
    scheme="https" secure="true" SSLEnabled="true"
    keystoreFile="${user.home}/.keystore" keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />

-1
2018-06-08 09:10