it-swarm-eu.dev

Emplacement du certificat SSL sous UNIX / Linux

Existe-t-il une norme ou une convention concernant l'emplacement des certificats SSL et des clés privées associées sur le système de fichiers UNIX/Linux?

121
John Topley

Pour une utilisation à l'échelle du système, OpenSSL devrait vous fournir /etc/ssl/certs et /etc/ssl/private. Ce dernier sera limité 700 à root:root.

Si vous avez une application qui n'effectue pas une privsep initiale à partir de root, il pourrait vous convenir de la localiser quelque part localement à l'application avec la propriété et les autorisations restreintes.

96
Dan Carley

C'est là que Go recherche les certificats racine publics :

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

Aussi :

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD
60
Timmmm

Cela variera d'une distribution à l'autre. Par exemple, sur les instances Amazon Linux (basées sur RHEL 5.x et des parties de RHEL6 et compatibles avec CentOS), les certificats sont stockés dans /etc/pki/tls/certs et les clés sont stockées dans /etc/pki/tls/private. Les certificats CA ont leur propre répertoire, /etc/pki/CA/certs et /etc/pki/CA/private. Pour toute distribution donnée, en particulier sur les serveurs hébergés, je recommande de suivre la structure de répertoire (et les autorisations) déjà disponible, le cas échéant.

16
vallismortis

Ubuntu utilise /etc/ssl/certs. Il a également la commande update-ca-certificates qui installera les certificats de /usr/local/share/ca-certificates.

Donc, installez vos certificats personnalisés dans /usr/local/share/ca-certificates et en cours d'exécution update-ca-certificates semble être recommandé.

http://manpages.ubuntu.com/manpages/latest/man8/update-ca-certificates.8.html

2
Jonah Braun