я использую openssl для генерации закрытых ключей и CSR в скрипте. Скрипту необходимо сначала сгенерировать ключ, а затем вызвать chmod 400 whatever.key чтобы изменить разрешения закрытого ключа на что-то более безопасное.
Есть ли способ исключить второй шаг и openssl создать файл с соответствующими разрешениями с самого начала? Мне казалось бы более чистым, чтобы закрытый ключ не читался другими процессами даже в течение миллисекунды.
Вы можете использовать umask в скрипте сделать что-то подобное или есть другой способ?
Я нашел ответ на мой вопрос на unix.stackexchange.com.
Идея состоит в том, чтобы использовать umask и запускать команды в круглых скобках, чтобы выполнить его в подоболочке, поэтому umask не влияет на остальную часть скрипта.
( umask 077; openssl rsa -in secure.key -out insecure.key )