Pregunta Ubicación del certificado SSL en UNIX / Linux


¿Hay algún estándar o convención sobre dónde deben ir los certificados SSL y las claves privadas asociadas en el sistema de archivos UNIX / Linux?

Gracias.


89
2017-09-04 15:57


origen




Respuestas:


Para uso en todo el sistema, OpenSSL debe proporcionarle /etc/ssl/certs y /etc/ssl/private. El último de los cuales será restringido. 700 a root:root.

Si tiene una aplicación que no está ejecutando un privilegio inicial de root entonces podría serle de utilidad ubicarlos en algún lugar local de la aplicación con los permisos y propiedad restringidos de manera relevante.


72
2017-09-04 16:07



De hecho tengo, gracias Dan. - John Topley
¿Está esto estandarizado en algún lugar? El estándar de jerarquía del sistema de archivos no lo contiene. - cweiske
@cweiske Esto parece ser una convención histórica de OpenSSL, no está estandarizada formalmente, y en mi opinión es una muy difícil de manejar. Mi primer rastro es esta versión: rpm.pbone.net/index.php3/stat/4/idpl/38501/dir/redhat_other/com/… - kubanczyk
Vale la pena señalar que esto es sólo distribuciones basadas en Debian. - Joshua Griffiths
¿Puedo almacenar los certificados SSL (por ejemplo, Let's Encrypt o Cloudflare) para los sitios web aquí también? ¡Gracias! - Vladyslav Turak


Aquí es donde Go busca certificados raíz públicos.:

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

también:

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD

32
2017-09-16 08:06





Esto variará de una distribución a otra. Por ejemplo, en instancias de Amazon Linux (basadas en RHEL 5.xy partes de RHEL6 y compatibles con CentOS), los certificados se almacenan en /etc/pki/tls/certs y las claves se almacenan en /etc/pki/tls/private. Los certificados CA tienen su propio directorio, /etc/pki/CA/certs y /etc/pki/CA/private. Para cualquier distribución dada, especialmente en servidores alojados, recomiendo seguir la estructura de directorio (y permisos) ya disponible, si hay una disponible.


12
2018-06-18 23:37



Lo mismo para CentOS7 también, gracias. - Jacob Evans


Si está buscando un certificado utilizado por su instancia de Tomcat

  1. Abra el archivo server.xml
  2. Buscar conector SSL / TLS
  3. Ver keystoreFile atributo que contiene la ruta al archivo de almacén de claves.

Parece que

<Connector
    protocol="org.apache.coyote.http11.Http11Protocol"
    port="8443" maxThreads="200"
    scheme="https" secure="true" SSLEnabled="true"
    keystoreFile="${user.home}/.keystore" keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />

-1
2018-06-08 09:10