ti-enxame.com

Local do certificado SSL no UNIX / Linux

Existe algum padrão ou convenção para onde os certificados SSL e as chaves privadas associadas devem ir no sistema de arquivos UNIX/Linux?

121
John Topley

Para uso em todo o sistema, o OpenSSL deve fornecer a você /etc/ssl/certs e /etc/ssl/private. O último dos quais será restrito 700 para root:root.

Se um aplicativo não estiver executando um privsep inicial de root, convém localizá-los em algum local do aplicativo com a propriedade e as permissões restritas.

96
Dan Carley

Aqui é onde o Go procura certificados raiz públicos :

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

Também :

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD
60
Timmmm

Isso varia de distribuição para distribuição. Por exemplo, nas instâncias do Amazon Linux (com base no RHEL 5.xe partes do RHEL6, e compatíveis com o CentOS), os certificados são armazenados em /etc/pki/tls/certs e as chaves são armazenadas em /etc/pki/tls/private. Os certificados da CA têm seu próprio diretório, /etc/pki/CA/certs e /etc/pki/CA/private. Para qualquer distribuição, especialmente em servidores hospedados, recomendo seguir a estrutura de diretório (e permissões) já disponível, se houver alguma disponível.

16
vallismortis

O Ubuntu usa /etc/ssl/certs. Ele também tem o comando update-ca-certificates que instalará certificados de /usr/local/share/ca-certificates.

Então, instalando seus certificados personalizados em /usr/local/share/ca-certificates e executando update-ca-certificates parece ser recomendado.

http://manpages.ubuntu.com/manpages/latest/man8/update-ca-certificates.8.html

2
Jonah Braun