Esistono standard o convenzioni per i casi in cui i certificati SSL e le chiavi private associate devono andare sul filesystem UNIX / Linux?
Grazie.
Esistono standard o convenzioni per i casi in cui i certificati SSL e le chiavi private associate devono andare sul filesystem UNIX / Linux?
Grazie.
Risposte:
Per l'utilizzo a livello di sistema OpenSSL dovrebbe fornire all'utente /etc/ssl/certs
e /etc/ssl/private
. Quest'ultimo sarà limitato 700
a root:root
.
Se un'applicazione non esegue un privsep iniziale da root
allora, potrebbe essere opportuno individuarli in un luogo locale dell'applicazione con la proprietà e le autorizzazioni pertinenti limitate.
/etc/ssl/certs
È qui che Go cerca i certificati di root pubblici :
"/etc/ssl/certs/ca-certificates.crt", // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt", // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem", // OpenSUSE
"/etc/pki/tls/cacert.pem", // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7
Inoltre :
"/etc/ssl/certs", // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs", // FreeBSD
"/etc/pki/tls/certs", // Fedora/RHEL
"/etc/openssl/certs", // NetBSD
Questo varierà da una distribuzione all'altra. Ad esempio, nelle istanze di Amazon Linux (basate su RHEL 5.xe parti di RHEL6 e compatibili con CentOS), i certificati vengono archiviati /etc/pki/tls/certs
e le chiavi vengono archiviate /etc/pki/tls/private
. I certificati CA hanno una propria directory /etc/pki/CA/certs
e /etc/pki/CA/private
. Per qualsiasi data distribuzione, specialmente sui server ospitati, consiglio di seguire la struttura della directory (e delle autorizzazioni) già disponibile, se disponibile.
Ubuntu usa /etc/ssl/certs
. Ha anche il comando update-ca-certificates
che installerà i certificati da /usr/local/share/ca-certificates
.
Pertanto, l'installazione /usr/local/share/ca-certificates
e l'esecuzione dei certificati personalizzati update-ca-certificates
sembrano essere raccomandati.
http://manpages.ubuntu.com/manpages/latest/man8/update-ca-certificates.8.html
Se stai cercando un certificato utilizzato dall'istanza Tomcat
keystoreFile
attributo che contiene il percorso del file keystore.Sembra
<Connector
protocol="org.apache.coyote.http11.Http11Protocol"
port="8443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="${user.home}/.keystore" keystorePass="changeit"
clientAuth="false" sslProtocol="TLS" />