Распространенный способ администрирования CA-сертификатов в Linux?
Я должен администрировать кучу машин Linux (сервер и клиенты) с различными дистрибутивами. Мы хотим использовать докер в будущем, поэтому может случиться так, что в будущем будет больше разных проблем. Я попытался автоматизировать добавление и удаление самоподписанных файлов ca .pem и заметил, что иногда файлы.pem находятся в /etc/ssl/certs (debian), иногда они находятся в /usr/share/pki/trust или /etc/pki/trust (opensuse) и иногда эти каталоги пусты или не существуют.
Есть ли общий способ или команда для добавления / удаления ca-сертификатов в linux в "официальный" стек openssl на машине? Если нет, как я могу найти правильное место для CA-сертификатов или где (в каком config-файле) определена папка для openssl?
Я знаю, что это только половина пути, потому что некоторые приложения используют свой собственный ca-стек (curl?), Но это очень помогает иметь самоподписанный сертификат в хорошо известном месте.
2 ответа
Есть ли общий способ или команда для добавления / удаления ca-сертификатов в linux в "официальный" стек openssl на машине?
Я не могу найти правильный дубликат, но на него уже отвечали, и ответ:
Нет, дистрибутивы используют разные места для openssl, и после добавления сертификата CA в коллекцию CA openssl вам все равно придется предоставить приложения, которые не используют openssl в качестве криптографической библиотеки, но которые используют, например, Mozilla NSS или GNU TLS, или Java. приложения, которые используют формат хранилища.
От http://gagravarr.org/writing/openssl-certs/others.shtml
Другой способ проверить На большинстве сборок OpenSSL, если вы запускаете команду
openssl version -d itсообщит об используемом каталоге, например, OPENSSLDIR: "/usr/lib/ssl" (каталог - /usr/lib/ssl). В некоторых системах (например, Ubuntu) указанный путь будет содержать символическую ссылку на реальное хранилище сертификатов в другом месте системы, поэтому вам может потребоваться перепроверить!