[devel] [Q]Общесистемный каталог для SSL-сертификатов.

[Ivan Zakharyaschev]

	Hello, Dmitry!

On Tue, 7 Jan 2003, Dmitry Lebkov wrote:

> Есть ли в нас в системе какой-нить общий каталог, куда следует
> складывать SSL-сертификаты сервисов, запускаемых на отдельно
> взятой машине?

Насколько я помню, было принято решение, что это /var/lib/ssl/certs/.

(Нашёл:
http://www.altlinux.ru/pipermail/devel/2002-September/006355.html)

> Сейчас имеем ситуацию, когда сервис, поддерживающий SSL/TLS,
> хранит сертификаты там где понравилось автору/пакаджеру пакета,
> что есть не очень хорошо.
>
> Может быть имеет смысл сделать что-то типа /usr/share/ssl-cert
> и внутри создавать структуру каталогов (?) для каждого сервиса,
> умеющего SSL/TLS (с соответствующм разграничением доступа)?
>
> Из плюсов:
>  - монтировать /usr в read-only значительно проще чем /etc или /var;
>  - упрощается контроль целостности сертификатов в случае размещения
>    их всех в одном, оговоренном, месте;
>
> Из минусов:
>  - патчить все существующие сервисы на предмет размещения
> сертификатов;
>  - поддерживать внесенные измененияж

- это не соответствует правилу о том, что то, что лежит в /usr/ (без
local/), предоставляется утсановкой дистрибутива. Местная конфигурация
попадает в /etc/, /usr/local/; данные, меняющиеся при работе -- в /var/.

-- 
С наилучшими пожеланиями,
Иван Захарьящев, Москва