Solución:
Solución 1:
Para un uso en todo el sistema, OpenSSL debería proporcionarle /etc/ssl/certs
y /etc/ssl/private
. El último de los cuales estará restringido 700
para root:root
.
Si tiene una aplicación que no realiza un privsep inicial de root
entonces puede que le convenga ubicarlos en algún lugar local de la aplicación con la propiedad y los permisos restringidos de manera relevante.
Solucion 2:
Aquí es donde Go busca certificados raíz públicos:
"/etc/ssl/certs/ca-certificates.crt", // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt", // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem", // OpenSUSE
"/etc/pki/tls/cacert.pem", // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7
"/etc/ssl/cert.pem", // Alpine Linux
También:
"/etc/ssl/certs", // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs", // FreeBSD
"/etc/pki/tls/certs", // Fedora/RHEL
"/etc/openssl/certs", // NetBSD
"/var/ssl/certs", // AIX
Solución 3:
Esto variará de una distribución a otra. Por ejemplo, en instancias de Amazon Linux (basadas en RHEL 5.xy partes de RHEL6, y compatibles con CentOS), los certificados se almacenan en /etc/pki/tls/certs
y las claves se almacenan en /etc/pki/tls/private
. Los certificados de CA tienen su propio directorio, /etc/pki/CA/certs
y /etc/pki/CA/private
. Para cualquier distribución dada, especialmente en servidores alojados, recomiendo seguir la estructura de directorios (y permisos) ya disponibles, si hay alguna disponible.
Solución 4:
Usos de Ubuntu /etc/ssl/certs
. También tiene el comando update-ca-certificates
que instalará certificados de /usr/local/share/ca-certificates
.
Entonces, instalando sus certificados personalizados en /usr/local/share/ca-certificates
y corriendo update-ca-certificates
parece ser recomendable.
http://manpages.ubuntu.com/manpages/latest/man8/update-ca-certificates.8.html