UNIX / LinuxでのSSL証明書の場所

SSL証明書と関連する秘密鍵をUNIX / Linuxファイルシステムのどこに置くべきかについて、標準や慣習はありますか？

ありがとう。

システム全体の使用のためにOpenSSLはあなたを提供しなければならない/etc/ssl/certsと/etc/ssl/private。後者はに制限さ700れroot:rootます。

最初のprivsepを実行していないアプリケーションがある場合root、関連する制限された所有権とアクセス許可を使用して、アプリケーションのローカルのどこかにそれらを配置することが適している場合があります。

Goは、パブリックルート証明書を探す場所です。

"/etc/ssl/certs/ca-certificates.crt",                // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt",                  // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem",                            // OpenSUSE
"/etc/pki/tls/cacert.pem",                           // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7

また：

"/etc/ssl/certs",               // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs",       // FreeBSD
"/etc/pki/tls/certs",           // Fedora/RHEL
"/etc/openssl/certs",           // NetBSD

これは、配布ごとに異なります。たとえば、Amazon Linuxインスタンス（RHEL 5.xおよびRHEL6の一部に基づいており、CentOSと互換性があります）では、証明書はに保存され/etc/pki/tls/certs、キーはに保存され/etc/pki/tls/privateます。CA証明書には独自のディレクトリが/etc/pki/CA/certsあり/etc/pki/CA/privateます。特定のディストリビューション、特にホストされたサーバーでは、既に利用可能なディレクトリ（およびアクセス許可）構造がある場合はそれに従うことをお勧めします。

Ubuntuはを使用し/etc/ssl/certsます。また、update-ca-certificatesから証明書をインストールするコマンドもあり/usr/local/share/ca-certificatesます。

したがって、カスタム証明書をインストールして/usr/local/share/ca-certificates実行update-ca-certificatesすることをお勧めします。

http://manpages.ubuntu.com/manpages/latest/man8/update-ca-certificates.8.html

Tomcatインスタンスで使用される証明書を探している場合

1. server.xmlファイルを開きます
2. SSL / TLSコネクタを検索
3. keystoreFileキーストアファイルへのパスを含む属性を参照してください。

のように見える

<Connector
    protocol="org.apache.coyote.http11.Http11Protocol"
    port="8443" maxThreads="200"
    scheme="https" secure="true" SSLEnabled="true"
    keystoreFile="${user.home}/.keystore" keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />