Pertanyaan Lokasi Sertifikat SSL pada UNIX / Linux


Apakah ada standar atau konvensi di mana sertifikat SSL dan kunci privat terkait harus menggunakan sistem file UNIX / Linux?

Terima kasih.


89
2017-09-04 15:57






Jawaban:


Untuk penggunaan sistem yang luas, OpenSSL harus menyediakan Anda /etc/ssl/certs dan /etc/ssl/private. Yang terakhir yang akan dibatasi 700 untuk root:root.

Jika Anda memiliki aplikasi yang tidak melakukan privsep awal root maka mungkin sesuai dengan Anda untuk menempatkan mereka di suatu tempat lokal ke aplikasi dengan kepemilikan dan izin yang dibatasi secara relevan.


72
2017-09-04 16:07



Saya memang, terima kasih Dan. - John Topley
apakah ini standar di suatu tempat? Standar hirarki sistem file tidak memuatnya. - cweiske
@cweiske Tampaknya ini adalah konvensi OpenSSL historis, tidak secara formal distandardisasi, dan yang sangat berat menurut saya. Jejak saya yang paling awal adalah versi ini: rpm.pbone.net/index.php3/stat/4/idpl/38501/dir/redhat_other/com/… - kubanczyk
Perlu dicatat bahwa ini hanya distro berbasis Debian. - Joshua Griffiths
Dapatkah saya menyimpan sertifikat SSL (mis. Let's Encrypt atau Cloudflare) untuk situs web di sini juga? Terima kasih! - Vladyslav Turak


Di sinilah Go mencari sertifikat root publik:

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

Juga:

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD

32
2017-09-16 08:06





Ini akan bervariasi dari distribusi ke distribusi. Misalnya, pada instance Amazon Linux (berdasarkan RHEL 5.x dan bagian RHEL6, dan kompatibel dengan CentOS), sertifikat disimpan di /etc/pki/tls/certs dan kunci disimpan /etc/pki/tls/private. Sertifikat CA memiliki direktori mereka sendiri, /etc/pki/CA/certs dan /etc/pki/CA/private. Untuk distribusi apa pun, terutama pada server yang dihosting, saya sarankan untuk mengikuti struktur direktori (dan izin) yang sudah tersedia, jika tersedia.


12
2018-06-18 23:37



Sama untuk CentOS7 juga, terima kasih. - Jacob Evans


Jika Anda mencari sertifikat yang digunakan oleh instance Tomcat Anda

  1. Buka file server.xml
  2. Cari konektor SSL / TLS
  3. Lihat keystoreFile atribut yang berisi path ke file keystore.

Sepertinya

<Connector
    protocol="org.apache.coyote.http11.Http11Protocol"
    port="8443" maxThreads="200"
    scheme="https" secure="true" SSLEnabled="true"
    keystoreFile="${user.home}/.keystore" keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />

-1
2018-06-08 09:10