Назад | Перейти на главную страницу

Зашифруем разрешения сертификата

Я использую webmin + virtualmin для размещения и управления веб-сайтами. Есть модуль Let's encrypt для настройки автоматического продления SSL-сертификата через определенный промежуток времени. Сертификаты помещаются в домашнюю папку пользователя - /home/website1, /home/website2 и т.п.

Мне нужно настроить TomCat для работы с этими автоматически созданными сертификатами.

Проблема в том, что 2 сертификата ssl.cert и ssl.key у вас есть chmod 700 (не может читать группа), а владелец - пользователь веб-сайта.

Как я могу изменить разрешения на 750 при создании новых сертификатов? Или это еще один способ позволить TomCat прочитать эти сертификаты?

Ключи не должны иметь разрешения 700, они должны иметь 600 или 400. Многие программы откажутся использовать ключ, если он имеет разрешения для группы или другого (сертификаты также не нуждаются в разрешении на выполнение).

С другой стороны, сертификаты не чувствительны, они отправляются по сети при каждом подключении клиента. Если ваш клиент Let's encrypt делает их нечитаемыми для других, просто сделайте копию run chmod после получения сертификатов.

Режим 700 предполагает, что существует конфигурация для режима сертификатов, и что она сконфигурирована неправильно.