Existem algumas maneiras de lidar com isso. Primeiro, preciso mencionar que somente other
access é normalmente proibido por todos os programas que precisam ler as chaves. Em outras palavras, permissões como 640
( rw-r-----
) normalmente são aceitáveis.
Com isso em mente, alguns métodos:
-
Faça o certificado pertencer a algum programa, digamos o apache:
www-data
:www-data
e com permissões640
. Faça alguns outros programas que precisam ler o certificado para serem membros dewww-data
group. Este é provavelmente o método mais conveniente, mas menos seguro, pois potencialmente abre privilégios indesejados para processos que não o tinham originalmente. -
Tornar certificado de propriedade do apache, mas no grupo de vmails:
www-data
:vmail
e permissões640
. Dessa forma, o apache pode lê-lo como proprietário e o vmail pode lê-lo como membro do grupo. Isso é um pouco mais seguro, mas não ultrapassa 2 programas. -
Crie um script para copiar o certificado original em alguns segmentados e altere as permissões adequadamente para cada um. Essa abordagem é provavelmente mais segura e se adapta bem, mas cria cópias. E não, você não pode criar links físicos, porque todos os arquivos com link físico compartilham proprietários e permissões.