답변:
시스템 전체를 사용 OpenSSL을 위해 당신을 제공해야 /etc/ssl/certs
하고 /etc/ssl/private
. 후자는로 제한 700
됩니다 root:root
.
초기 privsep를 수행하지 않는 root
응용 프로그램이있는 경우 관련 소유권 및 권한이 제한된 응용 프로그램의 로컬 위치를 찾는 것이 적합 할 수 있습니다.
/etc/ssl/certs
내가 볼 수 있는 한 ca 인증서를 저장합니다
"/etc/ssl/certs/ca-certificates.crt", // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt", // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem", // OpenSUSE
"/etc/pki/tls/cacert.pem", // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7
또한 :
"/etc/ssl/certs", // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs", // FreeBSD
"/etc/pki/tls/certs", // Fedora/RHEL
"/etc/openssl/certs", // NetBSD
배포마다 다릅니다. 예를 들어 Amazon Linux 인스턴스 (RHEL 5.x 및 RHEL6 일부 및 CentOS와 호환 가능)에서 인증서는에 저장되고 /etc/pki/tls/certs
키는에 저장됩니다 /etc/pki/tls/private
. CA 인증서는 자신의 디렉토리를 가지고 /etc/pki/CA/certs
와 /etc/pki/CA/private
. 특정 배포판, 특히 호스팅 된 서버의 경우 이미 사용 가능한 디렉토리 (및 권한) 구조 (있는 경우)를 따르는 것이 좋습니다.
우분투는를 사용합니다 /etc/ssl/certs
. 또한 update-ca-certificates
인증서를 설치 하는 명령 이 있습니다 /usr/local/share/ca-certificates
.
따라서 사용자 지정 인증서를 설치 /usr/local/share/ca-certificates
하고 실행 update-ca-certificates
하는 것이 좋습니다.
http://manpages.ubuntu.com/manpages/latest/man8/update-ca-certificates.8.html
Tomcat 인스턴스에서 사용하는 인증서를 찾는 경우
keystoreFile
키 저장소 파일의 경로가 포함 된 속성을 참조하십시오 .마치
<Connector
protocol="org.apache.coyote.http11.Http11Protocol"
port="8443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="${user.home}/.keystore" keystorePass="changeit"
clientAuth="false" sslProtocol="TLS" />