UNIX / Linux पर SSL प्रमाणपत्र स्थान


114

क्या कोई मानक या कन्वेंशन है जहां SSL प्रमाणपत्र और संबंधित निजी कुंजी UNIX / Linux फाइल सिस्टम पर जानी चाहिए?

धन्यवाद।

जवाबों:


90

सिस्टम के व्यापक उपयोग के लिए OpenSSL आपको /etc/ssl/certsऔर प्रदान करना चाहिए /etc/ssl/private। जिसके उत्तरार्द्ध को प्रतिबंधित 700किया जाएगा root:root

यदि आपके पास एक आवेदन है, जिसमें से एक प्रारंभिक प्राइवेटसेप प्रदर्शन नहीं कर रहा है, rootतो यह आपको प्रासंगिक रूप से प्रतिबंधित स्वामित्व और अनुमतियों के साथ आवेदन के लिए उन्हें स्थानीय कहीं भी खोजने के लिए उपयुक्त हो सकता है।


4
क्या यह कहीं मानकीकृत है? फ़ाइल सिस्टम पदानुक्रम मानक में यह शामिल नहीं है।
cweiske

1
@cweiske यह ऐतिहासिक OpenSSL सम्मेलन लगता है, औपचारिक रूप से मानकीकृत नहीं है, और मेरी राय में यह बहुत ही अप्रिय है। मेरा सबसे पहला निशान इस संस्करण है: rpm.pbone.net/index.php3/stat/4/idpl/38501/dir/redhat_other/com/…
kubanczyk

6
ध्यान देने योग्य बात यह है कि यह केवल डेबियन आधारित डिस्ट्रोस है।
जोशुआ ग्रिफिथ्स

2
क्या मैं यहाँ वेबसाइटों के लिए SSL प्रमाणपत्र (जैसे चलो एनक्रिप्ट या क्लाउडफ़ेयर) संग्रहीत कर सकता हूँ? धन्यवाद!
व्लादिस्लाव तुरक

1
आर्क और CentOS भी ca certs को स्टोर /etc/ssl/certsकरते हैं जहाँ तक मैं देख सकता हूँ
theferrit32

50

यह वह जगह है जहाँ गो सार्वजनिक मूल प्रमाणपत्रों की तलाश करता है :

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

इसके अलावा :

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD

14

यह वितरण से वितरण में भिन्न होगा। उदाहरण के लिए, अमेज़ॅन लिनक्स इंस्टेंसेस पर (आरएचईएल 5.x और आरएचईएल 6 के कुछ हिस्सों के आधार पर और सेंटो के साथ संगत), प्रमाण पत्र संग्रहीत किए जाते हैं /etc/pki/tls/certsऔर चाबियाँ संग्रहीत की जाती हैं /etc/pki/tls/private। सीए प्रमाण पत्र की अपनी निर्देशिका है, /etc/pki/CA/certsऔर /etc/pki/CA/private। किसी भी वितरण के लिए, विशेष रूप से होस्ट किए गए सर्वर पर, मैं पहले से उपलब्ध निर्देशिका (और अनुमतियाँ) संरचना का पालन करने की सलाह देता हूं, अगर कोई उपलब्ध है।


1
CentOS7 के लिए भी, धन्यवाद।
जैकब इवांस

1

उबटन का उपयोग करता है /etc/ssl/certs। इसमें कमांड भी है update-ca-certificatesजो से प्रमाण पत्र स्थापित करेगा /usr/local/share/ca-certificates

तो अपने कस्टम सर्टिफ़िकेट को इनस्टॉल करना /usr/local/share/ca-certificatesऔर रन update-ca-certificatesकरना अनुशंसित लगता है।

http://manpages.ubuntu.com/manpages/latest/man8/update-ca-certificates.8.html


-1

यदि आप अपने टॉमकैट उदाहरण द्वारा उपयोग किए गए प्रमाण पत्र की तलाश कर रहे हैं

  1. Server.xml फ़ाइल खोलें
  2. एसएसएल / टीएलएस कनेक्टर के लिए खोजें
  3. keystoreFileवह विशेषता देखें जिसमें कीस्टोर फ़ाइल का पथ समाहित है।

ऐसा लग रहा है

<Connector
    protocol="org.apache.coyote.http11.Http11Protocol"
    port="8443" maxThreads="200"
    scheme="https" secure="true" SSLEnabled="true"
    keystoreFile="${user.home}/.keystore" keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.