שאלה אישור SSL מיקום על UNIX / Linux


האם יש תקן או מוסכמה שבה אישורי SSL ומפתחות פרטיים קשורים צריכים לעבור על מערכת הקבצים UNIX / Linux?

תודה.


90
2017-09-04 15:57






תשובות:


עבור מערכת רחב להשתמש OpenSSL צריך לספק לך /etc/ssl/certs ו /etc/ssl/private. אשר האחרון יהיה מוגבל 700 ל root:root.

אם יש לך יישום לא מבצע privsep הראשונית מ root אז זה יכול להתאים לך לאתר אותם איפשהו מקומי ליישום עם בעלות מוגבלת והרשאות רלוונטיות.


73
2017-09-04 16:07



אני באמת, תודה דן. - John Topley
זה סטנדרטי איפשהו? תקן היררכית מערכת הקבצים אינו מכיל אותו. - cweiske
@ Cweiske זה נראה מוסכמת OpenSSL היסטורית, לא סטנדרטי רשמית, וגם אחד מסורבל מאוד לדעתי. העקבות המוקדמים ביותר שלי הם גרסה זו: rpm.pbone.net/index.php3/stat/4/idpl/38501/dir/redhat_other/com/... - kubanczyk
ראוי לציין כי זה רק דביאן מבוסס distros. - Joshua Griffiths
האם אני יכול לאחסן את אישורי SSL (למשל, Let Encrypt או Cloudflare) עבור האתרים כאן? תודה! - Vladyslav Turak


זה המקום שבו Go מחפש אישורי בסיס ציבורייםYou

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

כמו כןYou

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD

32
2017-09-16 08:06





זה ישתנה מהפצה להפצה. לדוגמה, במקרים של אמזון לינוקס (המבוססים על RHEL 5.x וחלקים של RHEL6 ותואמים ל- CentOS), האישורים מאוחסנים ב- /etc/pki/tls/certs ואת המפתחות מאוחסנים /etc/pki/tls/private. תעודות CA יש ספרייה משלהם, /etc/pki/CA/certs ו /etc/pki/CA/private. עבור כל חלוקה נתונה, במיוחד בשרתים מתארחים, אני ממליץ לעקוב אחר מבנה הספריות (וההרשאות) שכבר זמין, אם זמין.


12
2018-06-18 23:37



אותו הדבר גם עבור CentOS7, תודה. - Jacob Evans


אם אתה מחפש אישור בשימוש על ידי מופע Tomcat שלך

  1. פתח את הקובץ server.xml
  2. חפש מחבר SSL / TLS
  3. ראה keystoreFile תכונה המכילה את הנתיב לקובץ.

זה נראה כמו

<Connector
    protocol="org.apache.coyote.http11.Http11Protocol"
    port="8443" maxThreads="200"
    scheme="https" secure="true" SSLEnabled="true"
    keystoreFile="${user.home}/.keystore" keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />

-1
2018-06-08 09:10