Posizione del certificato SSL su UNIX / Linux


Risposte:


90

Per l'utilizzo a livello di sistema OpenSSL dovrebbe fornire all'utente /etc/ssl/certse /etc/ssl/private. Quest'ultimo sarà limitato 700a root:root.

Se un'applicazione non esegue un privsep iniziale da rootallora, potrebbe essere opportuno individuarli in un luogo locale dell'applicazione con la proprietà e le autorizzazioni pertinenti limitate.


4
è standardizzato da qualche parte? Lo standard della gerarchia del file system non lo contiene.
cweiske,

1
@cweiske Questa sembra essere una convenzione OpenSSL storica, non formalmente standardizzata, e secondo me molto ingombrante. La mia prima traccia è questa versione: rpm.pbone.net/index.php3/stat/4/idpl/38501/dir/redhat_other/com/…
kubanczyk

6
Vale la pena notare che si tratta solo di distribuzioni basate su Debian.
Joshua Griffiths,

2
Posso archiviare i certificati SSL (ad esempio Let's Encrypt o Cloudflare) anche per i siti Web qui? Grazie!
Vladyslav Turak,

1
Arch e CentOS memorizza anche i /etc/ssl/certs
certificati

50

È qui che Go cerca i certificati di root pubblici :

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

Inoltre :

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD

14

Questo varierà da una distribuzione all'altra. Ad esempio, nelle istanze di Amazon Linux (basate su RHEL 5.xe parti di RHEL6 e compatibili con CentOS), i certificati vengono archiviati /etc/pki/tls/certse le chiavi vengono archiviate /etc/pki/tls/private. I certificati CA hanno una propria directory /etc/pki/CA/certse /etc/pki/CA/private. Per qualsiasi data distribuzione, specialmente sui server ospitati, consiglio di seguire la struttura della directory (e delle autorizzazioni) già disponibile, se disponibile.


1
Lo stesso vale per CentOS7, grazie.
Jacob Evans,


-1

Se stai cercando un certificato utilizzato dall'istanza Tomcat

  1. Apri il file server.xml
  2. Cerca connettore SSL / TLS
  3. Vedi l' keystoreFileattributo che contiene il percorso del file keystore.

Sembra

<Connector
    protocol="org.apache.coyote.http11.Http11Protocol"
    port="8443" maxThreads="200"
    scheme="https" secure="true" SSLEnabled="true"
    keystoreFile="${user.home}/.keystore" keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.