Мне нужно администрировать кучу Linux-машин (сервер и клиенты) с разными дистрибутивами. Мы хотим использовать докер в будущем, так что, возможно, в будущем будет больше других дистрибутивов. Я попытался автоматизировать добавление и удаление самозаверяющих файлов ca.pem и заметил, что иногда файлы .pem находятся в / etc / ssl / certs (debian), иногда в / usr / share / pki / trust или / etc / pki / trust (opensuse), а иногда эти каталоги пусты или не существуют.
Есть ли общий способ или команда для добавления / удаления CA-сертификатов на linux в "официальный" стек openssl на машине? Если нет, как я могу найти подходящее место для CA-сертификатов или где (в каком конфигурационном файле) находится папка, определенная для openssl?
Я знаю, что это только половина пути, потому что некоторые приложения используют свой собственный закрытый стек CA (curl?), Но наличие самозаверяющего сертификата в хорошо известном месте очень помогает.
Есть ли общий способ или команда для добавления / удаления CA-сертификатов на linux в "официальный" стек openssl на машине?
Я не могу найти подходящий дубликат, но на это уже был дан ответ, и ответ таков:
Нет, дистрибутивы используют разные места для openssl, и после добавления сертификата CA в коллекцию CA openssl вам все равно придется предоставить приложения, которые не используют openssl в качестве криптографической библиотеки, но которые используют, например, Mozilla NSS или GNU TLS или приложения Java которые используют формат хранилища.
Из http://gagravarr.org/writing/openssl-certs/others.shtml#ca-openssl
Другой способ проверить В большинстве сборок OpenSSL, если вы запустите команду
openssl version -d itсообщит об использованном каталоге, например OPENSSLDIR: "/ usr / lib / ssl" (каталог - / usr / lib / ssl). В некоторых системах (например, Ubuntu) путь, указанный здесь, будет содержать символическую ссылку на реальное хранилище сертификатов в другом месте системы, поэтому вы можете захотеть перепроверить!