sviluppo-web-qa.it

Posizione del certificato SSL su UNIX / Linux

Esistono standard o convenzioni per i casi in cui i certificati SSL e le chiavi private associate devono andare sul filesystem UNIX/Linux?

121
John Topley

Per l'utilizzo a livello di sistema OpenSSL dovrebbe fornire /etc/ssl/certs e /etc/ssl/private. Quest'ultimo sarà limitato 700 per root:root.

Se un'applicazione non sta eseguendo un privsep iniziale da root, potrebbe essere opportuno individuarli in un luogo locale dell'applicazione con la proprietà e le autorizzazioni pertinenti limitate.

96
Dan Carley

Qui è dove Go cerca i certificati di root pubblici :

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

anche :

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD
60
Timmmm

Questo varierà da una distribuzione all'altra. Ad esempio, nelle istanze di Amazon Linux (basate su RHEL 5.xe parti di RHEL6 e compatibili con CentOS), i certificati sono archiviati in /etc/pki/tls/certs e le chiavi sono memorizzate in /etc/pki/tls/private. I certificati CA hanno una propria directory, /etc/pki/CA/certs e /etc/pki/CA/private. Per qualsiasi data distribuzione, specialmente sui server ospitati, consiglio di seguire la struttura della directory (e delle autorizzazioni) già disponibile, se disponibile.

16
vallismortis

Ubuntu utilizza /etc/ssl/certs. Ha anche il comando update-ca-certificates che installerà i certificati da /usr/local/share/ca-certificates.

Quindi installa i tuoi certificati personalizzati in /usr/local/share/ca-certificates e in esecuzione update-ca-certificates sembra essere raccomandato.

http://manpages.ubuntu.com/manpages/latest/man8/update-ca-certificates.8.html

2
Jonah Braun