ไม่สำคัญว่าคุณจะเก็บไว้ที่ไหนตราบใดที่คุณปกป้องไฟล์กุญแจส่วนตัวของคุณอย่างถูกต้อง ใบรับรองสาธารณะเป็นสาธารณะ ไม่ต้องการการป้องกัน - สิทธิพิเศษของเซิร์ฟเวอร์หรืออย่างอื่น
/etc/ssl
เพื่อขยายคำตอบที่ฉันไม่ได้ใช้ตำแหน่งเริ่มต้น
มันง่ายกว่าสำหรับฉันที่จะเก็บระเบิดทั้งหมดไว้ในพื้นที่แยกต่างหากเนื่องจากการสำรองข้อมูล + เหตุผลอื่น ๆ
สำหรับ Apache SSL, ฉันให้เหมืองใน/etc/apache2/ssl/private
หรือคล้ายกันพื้นที่ "ราก" /etc/
ใน
ตัวอย่างการตั้งค่า
โพสต์นี้มุ่งสู่ Ubuntu (Debian) + Apache แต่ควรทำงานกับระบบส่วนใหญ่ -
เพียงใช้การอนุญาตและอัปเดตตำแหน่ง / เส้นทางในการกำหนดค่าที่กำหนด (apache / nginx / etc)
หากไฟล์คีย์ SSL ได้รับการปกป้องอย่างถูกต้อง (ไดเรกทอรี & ไฟล์) คุณจะถูกต้อง หมายเหตุบันทึก!
สร้างไดเรกทอรี:
sudo mkdir /etc/apache2/ssl
sudo mkdir /etc/apache2/ssl/private
sudo chmod 755 /etc/apache2/ssl
sudo chmod 710 /etc/apache2/ssl/private
หมายเหตุ:
chmod 710
รองรับssl-cert
กลุ่มภายใต้ Ubuntu (ดูความคิดเห็น)
การตั้งค่าการอนุญาตเป็น700
เปิด/etc/apache2/ssl/private
จะทำงานได้ดี
วางไฟล์ SSL:
ใส่ใบรับรอง www ssl สาธารณะพร้อมกับใบรับรองกลางใน
/etc/apache2/ssl
ใส่รหัส ssl ส่วนตัวใน/etc/apache2/ssl/private
ตั้งเจ้าของ:
sudo chown -R root:root /etc/apache2/ssl/
sudo chown -R root:ssl-cert /etc/apache2/ssl/private/
หมายเหตุ:
หากคุณไม่มีกลุ่มใบรับรอง SSLให้ใช้ 'root: root' ที่บรรทัดด้านบนหรือข้ามบรรทัดที่ 2
ตั้งค่าการอนุญาต:
ใบรับรองสาธารณะ
sudo chmod 644 /etc/apache2/ssl/*.crt
รหัสส่วนตัว
sudo chmod 640 /etc/apache2/ssl/private/*.key
หมายเหตุ:
การอนุญาตกลุ่มถูกกำหนดเป็นอ่าน (640) เนื่องจากกลุ่ม ssl-cert ของ Ubuntu '600' ก็ใช้ได้เช่นกัน
เปิดใช้งานโมดูล Apache SSL
sudo a2enmod ssl
แก้ไขไฟล์ไซต์ Apache และเปิดใช้งาน
(ดูย่อหน้าสุดท้าย) *
sudo nano /etc/apache/sites-available/mysiteexample-ssl.conf
sudo a2ensite mysiteexample-ssl
# ^^^^^^^^^^^^^^^^^ <-Substitute your ".conf" filename(s)
เริ่มบริการ Apache2 ใหม่
sudo service apache2 restart
หรือ
sudo systemctl restart apache2.service
เสร็จสิ้น ทดสอบไซต์ SSL ใหม่ของคุณ
* สิ่งนี้นอกเหนือไปจากคำถาม แต่คุณสามารถคัดลอกไฟล์การกำหนดค่าไซต์ Apache SSL เริ่มต้น ( sudo cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/mysiteexample-ssl.conf
) เป็นจุดเริ่มต้นที่ดี / ตัวอย่างของไดเรคทีฟ / ไดเรคทีฟ / ไดเร็กตอรี่ปกติที่ใช้ภายใต้ไฟล์ 'conf' Apache / SSL . โดยปกติแล้วจะชี้ไปที่ใบรับรอง SSL ที่ลงนามเอง + คีย์ (snakeoil), บันเดิล CA รวมถึงคำสั่งทั่วไปที่ใช้สำหรับไซต์ SSL ที่กำหนด
หลังจากการคัดลอกเพียงแก้ไขไฟล์. conf ใหม่และเพิ่ม / ลบ / อัปเดตตามต้องการด้วยข้อมูลใหม่ / พา ธ ด้านบนจากนั้นดำเนินการsudo a2ensite mysiteexample-ssl
เพื่อเปิดใช้งาน
.crt
ป้ายประกาศของ Times Square ได้หากต้องการ