Existe-t-il une norme ou une convention en ce qui concerne les certificats SSL et les clés privées associées sur le système de fichiers UNIX / Linux?
Merci.
Existe-t-il une norme ou une convention en ce qui concerne les certificats SSL et les clés privées associées sur le système de fichiers UNIX / Linux?
Merci.
Réponses:
Pour une utilisation à l’échelle du système, OpenSSL devrait vous fournir /etc/ssl/certs
et /etc/ssl/private
. Ce dernier sera limité 700
à root:root
.
Si une application n'effectue pas une première opération privsep, root
il peut être judicieux de la localiser à un emplacement local de l'application avec les droits de propriété et les autorisations restreintes pertinents.
/etc/ssl/certs
C'est ici que Go recherche les certificats racine publics :
"/etc/ssl/certs/ca-certificates.crt", // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt", // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem", // OpenSUSE
"/etc/pki/tls/cacert.pem", // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7
Aussi :
"/etc/ssl/certs", // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs", // FreeBSD
"/etc/pki/tls/certs", // Fedora/RHEL
"/etc/openssl/certs", // NetBSD
Cela variera d'une distribution à l'autre. Par exemple, sur les instances Amazon Linux (basées sur RHEL 5.x et des parties de RHEL6 et compatibles avec CentOS), les certificats sont stockés dans, /etc/pki/tls/certs
ainsi que les clés /etc/pki/tls/private
. Les certificats de l'autorité de certification ont leur propre répertoire /etc/pki/CA/certs
et /etc/pki/CA/private
. Pour toute distribution donnée, en particulier sur les serveurs hébergés, il est recommandé de suivre la structure de répertoires (et d'autorisations) déjà disponible, le cas échéant.
Ubuntu utilise /etc/ssl/certs
. Il a également la commande update-ca-certificates
qui va installer les certificats de /usr/local/share/ca-certificates
.
L'installation de vos certificats personnalisés /usr/local/share/ca-certificates
et leur exécution update-ca-certificates
semblent donc être recommandés.
http://manpages.ubuntu.com/manpages/latest/man8/update-ca-certificates.8.html
Si vous recherchez un certificat utilisé par votre instance Tomcat
keystoreFile
attribut qui contient le chemin d'accès au fichier de magasin de clés.On dirait
<Connector
protocol="org.apache.coyote.http11.Http11Protocol"
port="8443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="${user.home}/.keystore" keystorePass="changeit"
clientAuth="false" sslProtocol="TLS" />