Для использования в масштабе всей системы OpenSSL должен предоставить Вам /etc/ssl/certs
и /etc/ssl/private
. Последний которого будет ограничен 700
кому: root:root
.
Если у Вас есть приложение, не выполняющее начальную букву privsep от root
затем это могло бы подойти Вам для определения местоположения их где-нибудь локальный для приложения с соответствующим образом ограниченным владением и полномочий.
Это будет варьироваться от дистрибутива к дистрибутиву. Например, в инстансах Amazon Linux (основанных на RHEL 5.x и частях RHEL6 и совместимых с CentOS) сертификаты хранятся в / etc / pki / tls / certs
, а ключи - в / etc / pki / tls / private
. Сертификаты CA имеют свой собственный каталог, / etc / pki / CA / certs
и / etc / pki / CA / private
. Для любого данного дистрибутива, особенно на размещенных серверах, я рекомендую следовать уже доступной структуре каталогов (и разрешений), если таковая имеется.
Здесь Go ищет публичные корневые сертификаты:
"/etc/ssl/certs/ca-certificates.crt", // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt", // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem", // OpenSUSE
"/etc/pki/tls/cacert.pem", // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7
"/etc/ssl/certs", // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs", // FreeBSD
"/etc/pki/tls/certs", // Fedora/RHEL
"/etc/openssl/certs", // NetBSD
Если вы ищете сертификат, используемый вашим экземпляром Tomcat
файл хранилища ключей
, который содержит путь к файлу хранилища ключей. Он выглядит как
<Connector
protocol="org.apache.coyote.http11.Http11Protocol"
port="8443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="${user.home}/.keystore" keystorePass="changeit"
clientAuth="false" sslProtocol="TLS" />
Ubuntu использует / etc / ssl / certs
. Он также имеет команду update-ca-Certificates
, которая установит сертификаты из / usr / local / share / ca-Certific
.
Таким образом, установка ваших пользовательских сертификатов в Похоже, рекомендуется / usr / local / share / ca-Certific
и запустить update-ca-Certific
.
http://manpages.ubuntu.com/manpages/latest/man8/ update-ca-Certific.8.html