linux – 允许用户在其主目录中安装证书?

前端之家收集整理的这篇文章主要介绍了linux – 允许用户在其主目录中安装证书?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
通常SSL证书是在系统范围内安装的(例如在/ etc / ssl / certs中).是否可以以允许用户将证书放入其主目录(例如〜/ .ssl / certs)的方式配置OpenSSL?

用例可以是需要使用自签名证书(由他生成,因此受信任)访问服务的用户;在系统范围内安装自签名CA会出错,因为其他用户不应该信任该CA.

解决方法

如果您指的是使用OpenSSL库进行SSL的应用程序,则每个应用程序都可以指定(连接)文件和/或(哈希链接)目录以用于受信任的证书,或者它可以调用OpenSSL的默认值,或者它可以提供选择.在第一种情况下,您需要(能够和)配置应用程序指定的内容.例如,在curl中使用–cacert和/或–capath每 http://curl.haxx.se/docs/manpage.html.在第二种情况下,编译的OpenSSL默认值(系统和可能依赖于构建)可以分别被环境变量SSL_CERT_FILE和SSL_CERT_DIR覆盖.

如果你的意思是使用OpenSSL库的应用程序用于其他东西(使用证书),比如CMS / SMIME,那么OpenSSL的API就不那么简单了;基本上应用程序必须直接构建一个X509_STORE用于验证,虽然我认为它仍然可以调用相同的默认值.

如果你的意思是命令行程序openssl图片有点复杂.某些实用程序(子命令)不使用信任库(甚至根本不使用证书);那些有选择通常指定-CAfile和-CApath的选项;请参阅适用的s_client,verify,ocsp等的手册页.但是,如果不指定选项,那么应该使用默认值的逻辑长期以来编码不一致;几个月前在支持清单上进行了讨论,我相信已经(最终)达成了一致意见,但截至2014年10月15日的1.0.1j,它尚未公布.

猜你在找的Linux相关文章