UNIX/Linux 上的 SSL 证书位置

对于系统范围的使用，OpenSSL 应该为您提供/etc/ssl/certs和/etc/ssl/private. 后者将被限制700在root:root.

如果您的应用程序不执行与 的初始权限分离，root那么您可能适合将它们定位在应用程序本地的某个位置，并具有相关受限的所有权和权限。

这是 Go 寻找公共根证书的地方：

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7
"/etc/ssl/cert.pem",                                 // Alpine Linux

还有：

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD
"/var/ssl/certs",               // AIX

这将因分布而异。例如，在 Amazon Linux 实例上（基于 RHEL 5.x 和部分 RHEL6，并与 CentOS 兼容），证书/etc/pki/tls/certs存储在/etc/pki/tls/private. CA 证书有自己的目录，/etc/pki/CA/certs并且/etc/pki/CA/private. 对于任何给定的发行版，尤其是在托管服务器上，我建议遵循已经可用的目录（和权限）结构，如果有的话。

Ubuntu 使用/etc/ssl/certs. 它还具有update-ca-certificates将安装证书的命令/usr/local/share/ca-certificates。

因此，似乎建议安装您的自定义证书/usr/local/share/ca-certificates并运行。update-ca-certificates

http://manpages.ubuntu.com/manpages/latest/man8/update-ca-certificates.8.html

如果您正在寻找 Tomcat 实例使用的证书

1. 打开 server.xml 文件
2. 搜索 SSL/TLS 连接器
3. 请参阅keystoreFile包含密钥库文件路径的属性。

看起来像

<Connector
    protocol="org.apache.coyote.http11.Http11Protocol"
    port="8443" maxThreads="200"
    scheme="https" secure="true" SSLEnabled="true"
    keystoreFile="${user.home}/.keystore" keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />