Question Emplacement du certificat SSL sous UNIX / Linux


Existe-t-il une norme ou une convention en ce qui concerne les certificats SSL et les clés privées associées sur le système de fichiers UNIX / Linux?

Merci.


89
2017-09-04 15:57


origine




Réponses:


Pour une utilisation globale, OpenSSL devrait vous fournir /etc/ssl/certs et /etc/ssl/private. Ce dernier sera restreint 700 à root:root.

Si vous avez une application qui n’exécute pas de privilège initial à partir de root vous pourrez alors les localiser à un emplacement local de l'application avec la propriété et les autorisations restreintes pertinentes.


72
2017-09-04 16:07



J'ai en effet, merci Dan. - John Topley
est-ce normalisé quelque part? La norme de hiérarchie du système de fichiers ne la contient pas. - cweiske
@ cweiske Cela semble être une convention historique OpenSSL, non formellement normalisée, et très lourde à mon avis. Ma première trace est cette version: rpm.pbone.net/index.php3/stat/4/idpl/38501/dir/redhat_other/com/… - kubanczyk
Il convient de noter qu’il s’agit uniquement de distributions basées sur Debian. - Joshua Griffiths
Pourrais-je également stocker les certificats SSL (par exemple, Let's Encrypt ou Cloudflare) pour les sites Web? Merci! - Vladyslav Turak


C’est là que Go cherche des certificats racine publics:

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

Également:

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD

32
2017-09-16 08:06





Cela variera d'une distribution à l'autre. Par exemple, sur les instances Amazon Linux (basées sur RHEL 5.x et des parties de RHEL6 et compatibles avec CentOS), les certificats sont stockés dans /etc/pki/tls/certs et les clés sont stockées dans /etc/pki/tls/private. Les certificats de l'autorité de certification ont leur propre répertoire, /etc/pki/CA/certs et /etc/pki/CA/private. Pour toute distribution donnée, en particulier sur les serveurs hébergés, il est recommandé de suivre la structure de répertoires (et d'autorisations) déjà disponible, le cas échéant.


12
2018-06-18 23:37



Même chose pour CentOS7, merci. - Jacob Evans


Si vous recherchez un certificat utilisé par votre instance Tomcat

  1. Ouvrez le fichier server.xml
  2. Rechercher un connecteur SSL / TLS
  3. Voir keystoreFile attribut contenant le chemin du fichier de magasin de clés.

Ça ressemble à

<Connector
    protocol="org.apache.coyote.http11.Http11Protocol"
    port="8443" maxThreads="200"
    scheme="https" secure="true" SSLEnabled="true"
    keystoreFile="${user.home}/.keystore" keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />

-1
2018-06-08 09:10