Где следует разместить эти сертификаты в среде, где несколько серверов Apache работают с множеством сайтов, использующих сертификаты SSL для HTTPS? В Debian или Ubuntu все соответствующие файлы должны быть помещены в / etc / apache2 / ssl? Или есть другое место, более подходящее для этого? Какие проблемы безопасности следует учитывать при выборе местоположения для этих файлов для нескольких веб-сайтов на одном сервере?
FWIW, я использую Debian.
Я помещаю все приватные ключи в /etc/ssl/private который имеет режим разрешения 0700. Все сертификаты помещаю в /etc/ssl/certs который имеет режим разрешения 0755. Владелец / группа для обоих - root: root.
По сути, ваши файлы ключей SSL должны быть доступны для чтения только root user (вы должны дать им две команды: sudo chown root:root /path/to/your/keyfile.key и sudo chmod 600 /path/to/your/keyfile.key). Ваши файлы сертификатов могут быть доступны для чтения всем. И всегда полезно хранить ключи и сертификаты вне дерева документов, доступного через Интернет, /etc/apache/ssl должно работать хорошо.
Следующие передовые методы размещения SSL-сертификатов обычно хорошо работают для меня:
/usr/share/ca-certificates/domainname/ - Ставь паблик *.crt файлы, полученные от центра сертификации здесь/etc/ssl/certs - Создавать символические ссылки на файлы, размещенные в /usr/share/ca-certificates/domainname/ каталог/etc/ssl/private/private.key - Закрытый ключ помещается непосредственно в этот каталог/opt/ssl/csr/domainname/domain.csr - Я помещаю исходный CSR в этот каталог для использования в будущем.Если вы планируете использовать SSL-сертификаты для таких сервисов, как Dovecot и Postfix, вам также понадобится *.pem файлы. Вы можете положить конвертированных *.pem файлы в /opt/ssl/csr/domainname/*.pem и создайте ссылку на них в /etc/ssl/certs каталог.