Posizione del certificato SSL su UNIX / Linux

114

Esistono standard o convenzioni per i casi in cui i certificati SSL e le chiavi private associate devono andare sul filesystem UNIX / Linux?

Grazie.

— John Topley
fonte

90

Per l'utilizzo a livello di sistema OpenSSL dovrebbe fornire all'utente /etc/ssl/certse /etc/ssl/private. Quest'ultimo sarà limitato 700a root:root.

Se un'applicazione non esegue un privsep iniziale da rootallora, potrebbe essere opportuno individuarli in un luogo locale dell'applicazione con la proprietà e le autorizzazioni pertinenti limitate.

— Dan Carley
fonte

4

è standardizzato da qualche parte? Lo standard della gerarchia del file system non lo contiene.

— cweiske,

1

@cweiske Questa sembra essere una convenzione OpenSSL storica, non formalmente standardizzata, e secondo me molto ingombrante. La mia prima traccia è questa versione: rpm.pbone.net/index.php3/stat/4/idpl/38501/dir/redhat_other/com/…

— kubanczyk

6

Vale la pena notare che si tratta solo di distribuzioni basate su Debian.

— Joshua Griffiths,

2

Posso archiviare i certificati SSL (ad esempio Let's Encrypt o Cloudflare) anche per i siti Web qui? Grazie!

— Vladyslav Turak,

1

Arch e CentOS memorizza anche i /etc/ssl/certs

— certificati

50

È qui che Go cerca i certificati di root pubblici :

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

Inoltre :

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD

— Timmmm
fonte

14

Questo varierà da una distribuzione all'altra. Ad esempio, nelle istanze di Amazon Linux (basate su RHEL 5.xe parti di RHEL6 e compatibili con CentOS), i certificati vengono archiviati /etc/pki/tls/certse le chiavi vengono archiviate /etc/pki/tls/private. I certificati CA hanno una propria directory /etc/pki/CA/certse /etc/pki/CA/private. Per qualsiasi data distribuzione, specialmente sui server ospitati, consiglio di seguire la struttura della directory (e delle autorizzazioni) già disponibile, se disponibile.

— vallismortis
fonte

1

Lo stesso vale per CentOS7, grazie.

— Jacob Evans,

1

Ubuntu usa /etc/ssl/certs. Ha anche il comando update-ca-certificatesche installerà i certificati da /usr/local/share/ca-certificates.

Pertanto, l'installazione /usr/local/share/ca-certificatese l'esecuzione dei certificati personalizzati update-ca-certificatessembrano essere raccomandati.

http://manpages.ubuntu.com/manpages/latest/man8/update-ca-certificates.8.html

— Jonah Braun
fonte

-1

Se stai cercando un certificato utilizzato dall'istanza Tomcat

Apri il file server.xml
Cerca connettore SSL / TLS
Vedi l' keystoreFileattributo che contiene il percorso del file keystore.

Sembra

<Connector
    protocol="org.apache.coyote.http11.Http11Protocol"
    port="8443" maxThreads="200"
    scheme="https" secure="true" SSLEnabled="true"
    keystoreFile="${user.home}/.keystore" keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />

— naXa
fonte