コピペコードで快適生活

明日使えるソースを自分のために

CentOSでルート証明書はどのように配置されているか

  • ca-certificates
    • MozillaFoundationが選定したCA証明書のセット
    • yum install ca-certificates でインストールされる
    • インストール場所は、rpm -Vv ca-certificates で確認できる
    • ルート証明書/usr/share/pki/ca-trust-source 直下に配置される。
    • ca-certificatesをupgradeすることで最新の証明書に更新される
  • ルート証明書を自分で追加/削除する
  • update-ca-trustコマンド
    • ca-certificates に含まれるコマンド
    • ca-certificatesに元から含まれる証明書と、自身で配置した証明書をバンドルして出力する
    • 出力先は /etc/pki/ca-trust/extracted 以下
    • 基本的にアプリケーションは、これで出力された証明書を参照する。
      • Rubyはこれで確認できる OpenSSL::X509::DEFAULT_CERT_FILE
      • 後方互換
        • かつて(CentOS6以前?)は以下にバンドルされた証明書があった
          • /etc/pki/tls/cert.pem
          • /etc/pki/tls/certs/ca-bundle.crt
          • /etc/pki/tls/certs/ca-bundle.trust.crt
        • CentOS7以降ではこれらのパスは残されていて、/etc/pki/ca-trust/extracted/* へのシンボリックリンクとなっている
          • かつての配置場所を参照するアプリケーションとの互換性のため
            • /etc/pki/tls/cert.pem -> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
            • /etc/pki/tls/certs/ca-bundle.crt -> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
            • /etc/pki/tls/certs/ca-bundle.trust.crt -> /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt
        • LINKS