สิ่งที่ควรได้รับการอนุญาตจาก Apache SSL Directory, Certificate และ Key

ฉันมีcert.pemและcert.keyไฟล์ใน/etc/apache2/sslโฟลเดอร์

สิ่งที่จะได้รับอนุญาตที่ปลอดภัยที่สุดและเป็นเจ้าของ:

/etc/apache2/ssl ไดเรกทอรี
/etc/apache2/ssl/cert.pem ไฟล์
/etc/apache2/ssl/cert.key ไฟล์

(มั่นใจว่าhttps://เข้าถึงงานแน่นอน :)

ขอบคุณ

— จะ
แหล่งที่มา

คำตอบ:

สิทธิ์ของไดเรกทอรีควรเป็น 700 สิทธิ์ของไฟล์ในทุกไฟล์ควรเป็น 600 และไดเรกทอรีและไฟล์ควรเป็นของ root

— Mike Scott
แหล่งที่มา

ขอบคุณ วิธีนี้ใช้ได้ผล สิ่งหนึ่ง - ฉันเดาว่าไฟล์จะต้องอ่านโดย root ที่เริ่ม apache daemon ทำไมเราต้องให้สิทธิ์ "เขียน" กับไฟล์?

ไฟล์จะต้องอัปเดตเป็นระยะเนื่องจากใบรับรองของคุณหมดอายุและต้องได้รับการต่ออายุและเนื่องจากไม่มีความเสี่ยงด้านความปลอดภัยที่แท้จริงในการทำให้เขียนได้ทำให้ชีวิตง่ายขึ้นเล็กน้อย พวกเขาไม่จำเป็นต้องสามารถอ่านได้สำหรับการใช้งานแบบวันต่อวันดังนั้นคุณสามารถใช้สิทธิ์ 400 รายการ (และ 500 รายการในไดเรกทอรี) หากคุณไม่คิดว่าจะต้องทำตามขั้นตอนการต่ออายุ

— Mike Scott

ควรสังเกตว่า Apache เอกสารอย่างเป็นทางการไม่เห็นด้วยกับคำแนะนำดั้งเดิมของ Mike เกี่ยวกับ SSL และไปกับคำแนะนำที่สองของเขาที่นี่ในความคิดเห็น

— meshfields

เจ้าของควรเป็นอย่างไร

— John Bachir

คุณพบ "เอกสาร Apache อย่างเป็นทางการ" ที่ใดเกี่ยวกับ ssl

— user9

สิ่งสำคัญที่สุดคือการทำให้แน่ใจว่า*.keyไฟล์นั้นสามารถอ่านได้โดยroot ( SSL / TLS Strong Encryption: FAQ )

ประสบการณ์ของฉันคือมันสามารถรับรู้ไปยังไฟล์อื่น ๆ ของใบรับรอง (เช่น*.crtตัวอย่าง)

ดังนั้นเราควรตั้งrootเป็นเจ้าของไดเรกทอรีและไฟล์ของมัน:

$ chown -R root:root /etc/apache2/ssl

และเราสามารถตั้งค่าการอนุญาตที่ จำกัด มากที่สุดสำหรับการแปลภาษานี้:

$ chmod -R 000 /etc/apache2/ssl

ในบางกรณีการแปลอาจแตกต่างกันแน่นอน

— simhumileco
แหล่งที่มา