我必须管理一堆具有不同发行版的 linux 机器(服务器和客户端)。我们想在未来使用 docker,所以未来可能会有更多不同的 distris。我试图自动添加和删除自签名 ca .pem 文件并注意到,有时 .pem 文件位于 /etc/ssl/certs (debian) 中,有时位于 /usr/share/pki/trust 或 / etc/pki/trust (opensuse) 有时这些目录是空的或不存在。
是否有一种通用方法或命令可以将 linux 上的 ca-certificates 添加/删除到机器上的“官方”openssl 堆栈?如果没有,我怎样才能找到 ca-certificates 的正确位置或为 openssl 定义的文件夹在哪里(在哪个配置文件中)?
我知道这只是路线的一半,因为一些应用程序正在使用他们自己的私有 ca-stack(curl?),但是在众所周知的地方拥有自签名的 ca-cert 会很有帮助。
我找不到合适的副本,但这之前已经回答过,答案是:
不,发行版对 openssl 使用不同的位置,并且在将 CA 证书添加到 openssl 的 CA 集合后,您仍然必须提供不使用 openssl 作为加密库但使用例如 Mozilla 的 NSS 或 GNU TLS 或 Java 的应用程序使用 Vault 格式的应用程序。
来自http://gagravarr.org/writing/openssl-certs/others.shtml#ca-openssl