我必须pipe理一系列具有不同分布的Linux机器(服务器和客户端)。 我们希望在将来使用docker工人,所以未来可能会有更多不同的差异。 我曾尝试自动添加和删除自签名的ca.pem文件,并注意到,有时.pem文件驻留在/ etc / ssl / certs(debian)中,有时位于/ usr / share / pki / trust或/ etc / pki / trust(opensuse),有时这些目录是空的或不存在的。
有一种常见的方式或命令来添加/删除Linux上的ca-certificates到机器上的“官方”openssl堆栈吗? 如果没有,我怎么find正确的地方为CA证书或在哪里(在哪个configuration文件)为openssl定义的文件夹?
我知道这只是一半的路由,因为有些应用程序正在使用自己的私有堆栈(curl?),但是在一个众所周知的地方拥有自签名的ca-cert会有很大的帮助。
有一种常见的方式或命令来添加/删除Linux上的ca-certificates到机器上的“官方”openssl堆栈吗?
我找不到合适的副本,但是之前已经回答了,答案是:
不 ,发行版使用openssl的不同位置,并且在为openssl的CA收集添加CA证书之后,您仍然必须提供不使用openssl作为encryption库的应用程序,但使用Mozilla的NSS或GNU TLS或Java使用Vault格式的应用程序。
从http://gagravarr.org/writing/openssl-certs/others.shtml#ca-openssl
另一种检查大多数OpenSSL版本的方法,如果运行命令
openssl version -d it它将报告使用的目录,例如OPENSSLDIR:“/ usr / lib / ssl”(目录是/ usr / lib / ssl)。 在某些系统上(例如Ubuntu),由此产生的path将包含系统中其他地方的真正证书存储的符号链接,因此您可能需要仔细检查!