it-swarm-id.com

Lokasi Sertifikat SSL di UNIX / Linux

Apakah ada standar atau konvensi tentang ke mana sertifikat SSL dan kunci privat terkait harus digunakan pada sistem file UNIX/Linux?

121
John Topley

Untuk penggunaan sistem secara luas, OpenSSL seharusnya memberi Anda /etc/ssl/certs dan /etc/ssl/private. Yang terakhir akan dibatasi 700 hingga root:root.

Jika Anda memiliki aplikasi yang tidak melakukan privsep awal dari root maka mungkin Anda cocok untuk menempatkannya di suatu tempat lokal ke aplikasi dengan kepemilikan dan izin yang dibatasi secara relevan.

96
Dan Carley

Di sinilah Go mencari sertifikat root publik :

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

Juga :

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD
60
Timmmm

Ini akan bervariasi dari distribusi ke distribusi. Misalnya, pada instance Amazon Linux (berdasarkan RHEL 5.x dan bagian-bagian RHEL6, dan kompatibel dengan CentOS), sertifikat disimpan di /etc/pki/tls/certs dan kunci disimpan dalam /etc/pki/tls/private. Sertifikat CA memiliki direktori sendiri, /etc/pki/CA/certs dan /etc/pki/CA/private. Untuk distribusi apa pun, terutama pada server yang dihosting, saya sarankan untuk mengikuti struktur direktori (dan izin) yang sudah tersedia, jika ada.

16
vallismortis

Ubuntu menggunakan /etc/ssl/certs. Ini juga memiliki perintah update-ca-certificates yang akan menginstal sertifikat dari /usr/local/share/ca-certificates.

Jadi pasang sertifikat khusus Anda di /usr/local/share/ca-certificates dan menjalankan update-ca-certificates tampaknya direkomendasikan.

http://manpages.ubuntu.com/manpages/latest/man8/update-ca-certificates.8.html

2
Jonah Braun