Solution 1 :
Pour une utilisation à l'échelle du système, OpenSSL devrait vous fournir /etc/ssl/certs et /etc/ssl/private . Ce dernier sera restreint 700 à root:root .
Si vous avez une application qui n'effectue pas de privsep initial à partir de root alors il peut vous convenir de les localiser dans un endroit local de l'application avec la propriété et les autorisations restreintes appropriées.
Solution 2 :
C'est là que Go recherche les certificats racines publics :
"/etc/ssl/certs/ca-certificates.crt", // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt", // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem", // OpenSUSE
"/etc/pki/tls/cacert.pem", // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7
"/etc/ssl/cert.pem", // Alpine Linux
Aussi :
"/etc/ssl/certs", // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs", // FreeBSD
"/etc/pki/tls/certs", // Fedora/RHEL
"/etc/openssl/certs", // NetBSD
"/var/ssl/certs", // AIX
Solution 3 :
Cela variera d'une distribution à l'autre. Par exemple, sur les instances Amazon Linux (basées sur RHEL 5.x et des parties de RHEL6, et compatibles avec CentOS), les certificats sont stockés dans /etc/pki/tls/certs et les clés sont stockées dans /etc/pki/tls/private . Les certificats CA ont leur propre répertoire, /etc/pki/CA/certs et /etc/pki/CA/private . Pour toute distribution donnée, en particulier sur les serveurs hébergés, je recommande de suivre la structure de répertoire (et d'autorisations) déjà disponible, le cas échéant.
Solution 4 :
Ubuntu utilise /etc/ssl/certs . Il a aussi la commande update-ca-certificates qui installera les certificats de /usr/local/share/ca-certificates .
Installez donc vos certificats personnalisés en /usr/local/share/ca-certificates et exécutant update-ca-certificates semble être recommandé.
http://manpages.ubuntu.com/manpages/latest/man8/update-ca-certificates.8.html