Início / server / Perguntas / 62496
Accepted
John Topley
Asked: 2009-09-05 07:57:12 +0800 CST

Localização do certificado SSL no UNIX/Linux

  • 772

Existe algum padrão ou convenção para onde os certificados SSL e as chaves privadas associadas devem ir no sistema de arquivos UNIX/Linux?

linux unix filesystems ssl ssl-certificate

5 respostas

  1. Best Answer

    Para uso em todo o sistema, o OpenSSL deve fornecer a você /etc/ssl/certse /etc/ssl/private. O último dos quais será restrito 700a root:root.

    Se você tiver um aplicativo que não executa a separação inicial de privilégios de root, pode ser conveniente localizá-los em algum lugar local para o aplicativo com a propriedade e as permissões restritas relevantes.

    • 130

  2. É aqui que o Go procura certificados raiz públicos :

    "/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7
"/etc/ssl/cert.pem",                                 // Alpine Linux

    Também :

    "/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD
"/var/ssl/certs",               // AIX
    • 105

  3. Isso vai variar de distribuição para distribuição. Por exemplo, em instâncias do Amazon Linux (baseadas em RHEL 5.xe partes de RHEL6 e compatíveis com CentOS), os certificados são armazenados /etc/pki/tls/certse as chaves são armazenadas em /etc/pki/tls/private. Os certificados de CA têm seu próprio diretório /etc/pki/CA/certse /etc/pki/CA/private. Para qualquer distribuição, especialmente em servidores hospedados, recomendo seguir a estrutura de diretórios (e permissões) já disponível, se houver.

    • 21

  4. O Ubuntu usa /etc/ssl/certs. Ele também possui o comando update-ca-certificatesque instalará certificados de /usr/local/share/ca-certificates.

    Portanto, instalar seus certificados personalizados /usr/local/share/ca-certificatese executá update-ca-certificates-los parece ser recomendado.

    http://manpages.ubuntu.com/manpages/latest/man8/update-ca-certificates.8.html

    • 9

  5. Se você estiver procurando por um certificado usado por sua instância do Tomcat

    1. Abra o arquivo server.xml
    2. Pesquisar conector SSL/TLS
    3. Consulte keystoreFileo atributo que contém o caminho para o arquivo keystore.

    Parece

    <Connector
    protocol="org.apache.coyote.http11.Http11Protocol"
    port="8443" maxThreads="200"
    scheme="https" secure="true" SSLEnabled="true"
    keystoreFile="${user.home}/.keystore" keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />
    • -1

relate perguntas