Ort für x509-Zertifikate

27/10/2009 - 13:43 von Friedemann Stoyan | Report spam
Mahlzeit!

Viele Applikationen nutzen TLS und benötigen x509-Zertifikate. Nun frage ich
mich gerade, welches der geeignete Ort wàre, diese Zertifikate abzulegen. Da
wàren:

* /etc/ssl/certs
Eigentlich ungünstig, da dort sie CA-Zertifikate mit ihren Hashes liegen.

* /etc/ssl/private
Ginge eigentlich auch, permissions müssen entsprechend angepasst werden.

* Applikationsspezifisch: /etc/<applikation>/certs
Das erscheint mir auch ein gangbarer Weg.

Meinungen? Wie geht ihr mit den Applikationszertifikaten um?

mfg Friedemann
 

Lesen sie die antworten

#1 Werner Olschewski
27/10/2009 - 19:50 | Warnen spam
Friedemann Stoyan schrieb:
Mahlzeit!

Viele Applikationen nutzen TLS und benötigen x509-Zertifikate. Nun frage ich
mich gerade, welches der geeignete Ort wàre, diese Zertifikate abzulegen. Da
wàren:

* /etc/ssl/certs
Eigentlich ungünstig, da dort sie CA-Zertifikate mit ihren Hashes liegen.

* /etc/ssl/private
Ginge eigentlich auch, permissions müssen entsprechend angepasst werden.

* Applikationsspezifisch: /etc/<applikation>/certs
Das erscheint mir auch ein gangbarer Weg.

Meinungen? Wie geht ihr mit den Applikationszertifikaten um?




Ich lege sie in die Konfigurationsverzeichnisse der jeweiligen
Anwendungen. Die Server sind alle so konfiguriert, das sie ohne Eingriff
booten, daher liegen da die private keys und dann liegen die
Zertifikate dabei, sogar im selben File. Nur mit den Leserechten muß man
dabei aufpassen, die Verzeichnisse sind ja für alle lesbar, zum Teil
habe ich das mit nicht öffentlichen Unterverzeichnissen gelöst.

Gruß
Werner

Ähnliche fragen