Em um ambiente onde um punhado de servidores Apache está executando um monte de sites usando certificados SSL para HTTPS, onde esses certificados devem ser colocados? No Debian ou Ubuntu, todos os arquivos relevantes devem ser colocados em / etc / apache2 / ssl? Ou há algum outro local mais adequado para isso? Quais preocupações de segurança devem ser abordadas ao escolher locais para esses arquivos para vários sites no mesmo servidor?
FWIW, eu uso o Debian.
Eu coloco todas as chaves privadas em /etc/ssl/private , que tem o modo de permissão 0700 . Eu coloco todos os certificados em /etc/ssl/certs , que tem o modo de permissão 0755 . O proprietário / grupo de ambos é root: root.
Basicamente, seus arquivos de chave SSL devem ser legíveis somente por um usuário root (você deve emitir dois comandos neles: sudo chown root:root /path/to/your/keyfile.key e sudo chmod 600 /path/to/your/keyfile.key ). Seus arquivos de certificado podem ser legíveis pelo mundo. E é sempre uma boa ideia manter suas chaves e certificados fora de sua árvore de documentos acessível pela Web, /etc/apache/ssl deve funcionar bem.
As seguintes práticas recomendadas para colocar certificados SSL geralmente funcionaram bem para mim:
/usr/share/ca-certificates/domainname/ - Coloque o público *.crt
arquivos obtidos da autoridade da CA aqui /etc/ssl/certs - Cria links simbólicos para os arquivos colocados no
/usr/share/ca-certificates/domainname/ directory /etc/ssl/private/private.key - A chave privada é colocada diretamente
neste diretório /opt/ssl/csr/domainname/domain.csr - eu coloco o CSR original em
este diretório para minha futura referência. Se você planeja usar os certificados SSL para serviços como Dovecot e Postfix, também precisará dos arquivos *.pem . Você pode colocar esses arquivos *.pem convertidos em /opt/ssl/csr/domainname/*.pem e criar um link para eles no diretório /etc/ssl/certs .
Tags ssl debian apache-2.2 ubuntu