Solución 1:
Para uso en todo el sistema, OpenSSL debería proporcionarle /etc/ssl/certs y /etc/ssl/private . El último de los cuales estará restringido 700 a root:root .
Si tiene una aplicación que no realiza un privsep inicial desde root entonces puede que le convenga ubicarlos en algún lugar local de la aplicación con la propiedad y los permisos restringidos correspondientes.
Solución 2:
Aquí es donde Go busca certificados raíz públicos:
"/etc/ssl/certs/ca-certificates.crt", // Debian/Ubuntu/Gentoo etc.
"/etc/pki/tls/certs/ca-bundle.crt", // Fedora/RHEL 6
"/etc/ssl/ca-bundle.pem", // OpenSUSE
"/etc/pki/tls/cacert.pem", // OpenELEC
"/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem", // CentOS/RHEL 7
"/etc/ssl/cert.pem", // Alpine Linux
También:
"/etc/ssl/certs", // SLES10/SLES11, https://golang.org/issue/12139
"/system/etc/security/cacerts", // Android
"/usr/local/share/certs", // FreeBSD
"/etc/pki/tls/certs", // Fedora/RHEL
"/etc/openssl/certs", // NetBSD
"/var/ssl/certs", // AIX
Solución 3:
Esto variará de una distribución a otra. Por ejemplo, en instancias de Amazon Linux (basadas en RHEL 5.x y partes de RHEL6, y compatibles con CentOS), los certificados se almacenan en /etc/pki/tls/certs y las claves se almacenan en /etc/pki/tls/private . Los certificados de CA tienen su propio directorio, /etc/pki/CA/certs y /etc/pki/CA/private . Para cualquier distribución dada, especialmente en servidores alojados, recomiendo seguir la estructura de directorio (y permisos) ya disponible, si está disponible.
Solución 4:
Ubuntu usa /etc/ssl/certs . También tiene el comando update-ca-certificates que instalará certificados desde /usr/local/share/ca-certificates .
Así que instale sus certificados personalizados en /usr/local/share/ca-certificates y ejecutando update-ca-certificates parece ser recomendable.
http://manpages.ubuntu.com/manpages/latest/man8/update-ca-certificates.8.html