Vị trí chứng chỉ SSL trên UNIX / Linux

114

Có bất kỳ tiêu chuẩn hoặc quy ước nào về nơi chứng chỉ SSL và khóa riêng được liên kết sẽ đi trên hệ thống tệp UNIX / Linux không?

Cảm ơn.

— John Topley
nguồn

90

Để sử dụng rộng rãi hệ thống, OpenSSL sẽ cung cấp cho bạn /etc/ssl/certsvà /etc/ssl/private. Thì sau đó sẽ bị hạn chế 700tới root:root.

Nếu bạn có một ứng dụng không thực hiện quyền riêng tư ban đầu rootthì nó có thể phù hợp với bạn để xác định vị trí của chúng ở đâu đó với ứng dụng với quyền sở hữu và quyền hạn chế có liên quan.

— Dan Carley
nguồn

4

điều này được chuẩn hóa ở đâu đó? Tiêu chuẩn phân cấp hệ thống tệp không chứa nó.

— cweiske

1

@cweiske Đây dường như là quy ước OpenSSL lịch sử, không được chuẩn hóa chính thức và theo tôi là rất khó sử dụng. Dấu vết sớm nhất của tôi là phiên bản này: rpm.pbone.net/index.php3/stat/4/idpl/38501/dir/redhat_other/com/iêu

— kubanchot

6

Đáng lưu ý rằng đây chỉ là bản phân phối dựa trên Debian.

— Joshua Griffiths

2

Tôi có thể lưu trữ chứng chỉ SSL (ví dụ: Let Encrypt hoặc Cloudflare) cho các trang web ở đây không? Cảm ơn!

— Vladyslav Turak

1

Arch và CentOS cũng lưu trữ ca certs trong /etc/ssl/certschừng mực mà tôi có thể thấy

— theferrit32

50

Đây là nơi Go tìm kiếm chứng chỉ gốc công khai :

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

Ngoài ra :

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD

— Timm
nguồn

14

Điều này sẽ thay đổi từ phân phối để phân phối. Ví dụ: trên các phiên bản Amazon Linux (dựa trên RHEL 5.x và các bộ phận của RHEL6 và tương thích với CentOS), các chứng chỉ được lưu trữ /etc/pki/tls/certsvà các khóa được lưu trữ trong /etc/pki/tls/private. Các chứng chỉ CA có thư mục riêng của họ, /etc/pki/CA/certsvà /etc/pki/CA/private. Đối với bất kỳ phân phối nhất định, đặc biệt là trên các máy chủ được lưu trữ, tôi khuyên bạn nên tuân theo cấu trúc thư mục (và quyền) đã có sẵn, nếu có sẵn.

— vallismortis
nguồn

1

Tương tự cho CentOS7 là tốt, cảm ơn bạn.

— Jacob Evans

1

Ubuntu sử dụng /etc/ssl/certs. Nó cũng có lệnh update-ca-certificatessẽ cài đặt chứng chỉ từ /usr/local/share/ca-certificates.

Vì vậy, cài đặt chứng chỉ tùy chỉnh của bạn trong /usr/local/share/ca-certificatesvà chạy update-ca-certificatesdường như được khuyến khích.

http://manpages.ubfox.com/manpages/latest/man8/update-ca-certert.8.html

— Jonah Braun
nguồn

-1

Nếu bạn đang tìm kiếm một chứng chỉ được sử dụng bởi cá thể Tomcat của bạn

Mở tệp server.xml
Tìm kiếm trình kết nối SSL / TLS
Xem keystoreFilethuộc tính có chứa đường dẫn đến tệp kho khóa.

Nó giống như

<Connector
    protocol="org.apache.coyote.http11.Http11Protocol"
    port="8443" maxThreads="200"
    scheme="https" secure="true" SSLEnabled="true"
    keystoreFile="${user.home}/.keystore" keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />

— naXa
nguồn