Обычный способ администрирования CA-сертификатов в Linux?
Мне нужно администрировать кучу Linux-машин (сервер и клиенты) с разными дистрибутивами. Мы хотим использовать докер в будущем, так что, возможно, в будущем будет больше других дистрибутивов. Я попытался автоматизировать добавление и удаление самозаверяющих файлов ca.pem и заметил, что иногда файлы .pem находятся в / etc / ssl / certs (debian), иногда в / usr / share / pki / trust или / etc / pki / trust (opensuse), а иногда эти каталоги пусты или не существуют.
Есть ли общий способ или команда для добавления / удаления CA-сертификатов на Linux в "официальный" стек openssl на машине? Если нет, то как мне найти правильное место для CA-сертификатов или где (в каком конфигурационном файле) находится папка, определенная для openssl?
Я знаю, что это только половина пути, потому что некоторые приложения используют свои собственный частный CA-стек (curl?), но очень помогает наличие самоподписанного CA-сертификата в хорошо известном месте.
Есть ли обычный способ или команда для добавления / удаления CA-сертификатов на Linux в "официальный" стек openssl на машине?
Я не могу найти подходящий дубликат, но на это уже был дан ответ, и ответ следующий:
Нет , дистрибутив использует разные места для openssl, и после добавления сертификата CA в коллекцию CA openssl вам все равно придется предоставлять приложения, которые не используют openssl в качестве крипто-библиотеки, но которые используют, например, Mozilla NSS или GNU TLS, или приложения Java, которые используют формат хранилища.
Из http://gagravarr.org/writing/openssl-certs/others.shtml#ca-openssl
Другой способ проверить большинство сборок OpenSSL, если вы запустите команда
openssl version -d itсообщит об использованном каталоге, например OPENSSLDIR: «/ usr / lib / ssl» (каталог / usr / lib / ssl). В некоторых системах (например, Ubuntu), путь, указанный из этого, будет содержать символическую ссылку на настоящий сертификаты хранятся в другом месте системы, поэтому вы можете захотеть перепроверьте!