OpenSSL, configuração básica, new_certs_dir, certs

Como mostrado na documentação

link

new_certs_dir é usado pela autoridade de certificação para gerar certificados recém-gerados.

certs não é usado aqui. No entanto, é referenciado no demoCA: "./demoCA/certs - arquivo de saída do certificado" Certs também não é usado para cadeias de certificados, como mostrado aqui:

link ou link

Observe que / etc / ssl / certs é o local padrão para os certificados emitidos. Mas a variável certs é $ dir / certs, então seria ./demoCA/certs Acho que todos concordamos que ela seja para certificados específicos da CA. Isso faz sentido porque a autoridade de certificação pode estar assinando certificados que são encadeados a certificados ainda não emitidos por qualquer autoridade cert.

Mas onde está a documentação para isso? Eu acredito que é um artefato do arquivo de configuração. Ele costumava ser usado para opções como certificado que conteria o ca.pem dentro de certs para certificado = $ certs / ca.pem.

Eu me lembro vagamente de ter essa mesma pergunta até perceber que ela foi usada posteriormente no arquivo de configuração, mas agora não é.

Edit: fica mais estranho. A versão atual do ca.c aqui: link não faz referência a certs. Mas versões muito mais antigas como esta: link Referenciá-lo, mas não faça nada com ele.

Eu não tenho uma boa referência para isso, mas o meu palpite e a maneira como eu pessoalmente o uso é armazenando certs recém-assinados no new_certs dir, mas mantendo o certificado CA (não a chave) e o nível superior CA certs no certs dir.

Isso é para diferenciá-los como eles não estão assinados pela sua CA openssl, mas por alguma CA externa ou algo parecido. Na prática, seria apenas para organização, se lhe convier.