Vraag SSL-certificaatlocatie op UNIX / Linux


Is er een standaard of conventie voor waar SSL-certificaten en bijbehorende privésleutels op het UNIX / Linux-bestandssysteem moeten gaan?

Bedankt.


89
2017-09-04 15:57


oorsprong




antwoorden:


Gebruik voor het hele systeem OpenSSL /etc/ssl/certs en /etc/ssl/private. Dit laatste zal worden beperkt 700 naar root:root.

Als u een toepassing hebt die geen initiële privsep uitvoert root dan kan het voor u geschikt zijn om ze ergens lokaal te lokaliseren bij de applicatie met het relevante beperkte eigendom en rechten.


72
2017-09-04 16:07



Dat heb ik inderdaad, bedankt Dan. - John Topley
is dit ergens gestandaardiseerd? De bestandssysteemhiërarchiestandaard bevat deze niet. - cweiske
@cweiske Dit lijkt een historische OpenSSL-conventie te zijn, niet formeel gestandaardiseerd en naar mijn mening erg onpraktisch. Mijn vroegste spoor is deze versie: rpm.pbone.net/index.php3/stat/4/idpl/38501/dir/redhat_other/com/... - kubanczyk
Het is vermeldenswaard dat dit alleen op Debian gebaseerde distro's zijn. - Joshua Griffiths
Kan ik de SSL-certificaten (bijvoorbeeld Let's Encrypt of Cloudflare) hier ook voor de websites opslaan? Bedankt! - Vladyslav Turak


Dit is waar Go naar openbare root-certificaten zoekt:

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

Ook:

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD

32
2017-09-16 08:06





Dit zal variëren van distributie tot distributie. Bijvoorbeeld, op Amazon Linux-instanties (gebaseerd op RHEL 5.x en delen van RHEL6, en compatibel met CentOS), worden de certificaten opgeslagen in /etc/pki/tls/certs en de sleutels zijn opgeslagen in /etc/pki/tls/private. De CA-certificaten hebben hun eigen directory, /etc/pki/CA/certs en /etc/pki/CA/private. Voor elke gegeven distributie, met name op gehoste servers, raad ik aan om de reeds beschikbare directory (en rechten) structuur te volgen, als die beschikbaar is.


12
2018-06-18 23:37



Idem voor CentOS7 ook, bedankt. - Jacob Evans


Als u op zoek bent naar een certificaat dat wordt gebruikt door uw Tomcat-instantie

  1. Open het bestand server.xml
  2. Zoeken naar SSL / TLS-connector
  3. Zien keystoreFile attribuut dat het pad naar keystore-bestand bevat.

Het lijkt op

<Connector
    protocol="org.apache.coyote.http11.Http11Protocol"
    port="8443" maxThreads="200"
    scheme="https" secure="true" SSLEnabled="true"
    keystoreFile="${user.home}/.keystore" keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />

-1
2018-06-08 09:10