سؤال موقع شهادة SSL على UNIX / Linux


هل هناك أي معيار أو اتفاقية حيث يجب أن تخضع شهادات SSL والمفاتيح الخاصة المرتبطة لنظام ملفات UNIX / Linux؟

شكر.


90
2017-09-04 15:57


الأصل




الأجوبة:


للاستخدام على نطاق واسع ، يجب أن يوفر لك OpenSSL /etc/ssl/certs و /etc/ssl/private. وسيتم تقييد الأخير 700 إلى root:root.

إذا كان لديك تطبيق لا يقوم بتنفيذ privsep أولي من root ثم قد تناسبك لتحديد موقعها في مكان ما محلي للتطبيق مع الملكية والأذونات المقيدة.


73
2017-09-04 16:07



لدي بالفعل ، شكرا دان. - John Topley
هل هذا موحد في مكان ما؟ لا يحتوي معيار التسلسل الهرمي لنظام الملفات عليه. - cweiske
@ cweiske يبدو أن هذه الاتفاقية هي OpenSSL التاريخية ، وليست موحدة رسميًا ، وهي غير واقعية في رأيي. أقدم أثر لي هو هذا الإصدار: rpm.pbone.net/index.php3/stat/4/idpl/38501/dir/redhat_other/com/... - kubanczyk
الجدير بالذكر أن هذا هو فقط توزيعات ديبيان القائمة. - Joshua Griffiths
هل يمكنني تخزين شهادات SSL (على سبيل المثال ، Let Encrypt or Cloudflare) للمواقع الإلكترونية هنا أيضًا؟ شكر! - Vladyslav Turak


هذا هو المكان الذي تبحث عنه Go للبحث عن شهادات الجذر العامة:

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

أيضا:

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD

32
2017-09-16 08:06





هذا سوف يختلف من التوزيع إلى التوزيع. على سبيل المثال ، في حالات Amazon Linux (على أساس RHEL 5.x وأجزاء من RHEL6 ومتوافقة مع CentOS) ، يتم تخزين الشهادات في /etc/pki/tls/certs ويتم تخزين المفاتيح في /etc/pki/tls/private. شهادات CA لها الدليل الخاص بها ، /etc/pki/CA/certs و /etc/pki/CA/private. بالنسبة لأي توزيع معين ، لا سيما على الخوادم المستضافة ، أوصي باتباع بنية الدليل (والأذونات) المتوفرة بالفعل ، إذا كان أحدها متاحًا.


12
2018-06-18 23:37



نفس ل CentOS7 كذلك ، شكرا لك. - Jacob Evans


إذا كنت تبحث عن شهادة يستخدمها مثيل Tomcat الخاص بك

  1. افتح ملف server.xml
  2. ابحث عن موصل SSL / TLS
  3. نرى keystoreFile السمة التي تحتوي على المسار إلى ملف تخزين المفاتيح.

يبدو مثل

<Connector
    protocol="org.apache.coyote.http11.Http11Protocol"
    port="8443" maxThreads="200"
    scheme="https" secure="true" SSLEnabled="true"
    keystoreFile="${user.home}/.keystore" keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />

-1
2018-06-08 09:10