Le migliori pratiche per l'immissione dei certificati SSL da utilizzare in Apache 2?

In un ambiente in cui una manciata di server Apache sta eseguendo un gruppo di siti utilizzando certificati SSL per HTTPS, where dovrebbero essere inseriti questi certificati? In Debian o Ubuntu, dovrebbero essere inseriti tutti i file rilevanti in / etc / apache2 / ssl? O c'è qualche altra posizione più adatta per questo? Quali problemi di sicurezza dovrebbero essere affrontati quando si scelgono le posizioni per questi file per più siti web sullo stesso server?

  • OpenVPN: non tutte le voci DNS vengono spinte a client dal server. (dnsmasq)
  • Il gruppo di processi uccidere non funziona
  • Cambiare la variabile di ambiente PATH per tutti gli utenti. (Ubuntu)
  • Come funziona un server web con quale coppia di chiavi da utilizzare per la decrittografia SSL?
  • La direttiva FallbackResource funziona per qualsiasi URI tranne `/`
  • Scrivere script shell che può essere eseguito solo da un utente sudo in Ubuntu
  • Apache: mod-rewrite per cercare le immagini mancanti in un'altra directory
  • Apache come proxy genera un errore.
  • Come distriggersre la vernice
  • Apache inverso inverso non preservare intestazioni
  • Abilitazione di mod_rewrite su Amazon Linux
  • Ambiente di stage, come gestire il nome di dominio?
  • 3 Solutions collect form web for “Le migliori pratiche per l'immissione dei certificati SSL da utilizzare in Apache 2?”

    FWIW, uso Debian.

    Posiziono tutte le chiavi private in /etc/ssl/private che ha la modalità di authorization 0700 . Posiziono tutti i certificati in /etc/ssl/certs che hanno la modalità di authorization 0755 . Il proprietario / gruppo per entrambi è root: root.

    In linea di principio, i tuoi file chiave SSL devono essere leggibili solo da un utente root (dovresti pubblicare due comandi su di loro: sudo chown root:root /path/to/your/keyfile.key sudo chmod 600 /path/to/your/keyfile.key sudo chown root:root /path/to/your/keyfile.key e sudo chmod 600 /path/to/your/keyfile.key ). I tuoi file di certificato possono essere leggibili in tutto il mondo. E 'sempre una buona idea mantenere le chiavi ei certificati al di fuori del tuo tree di documenti accessibile al web, /etc/apache/ssl dovrebbe funzionare bene.

    Le seguenti pratiche migliori per l'immissione di certificati SSL sono di solito funzionati bene per me:

    1. /usr/share/ca-certificates/domainname/ – Inserisci i file pubblici *.crt ottenuti dall'autorità CA qui
    2. /etc/ssl/certs – Crea collegamenti simbolici ai file inseriti nella /usr/share/ca-certificates/domainname/ directory
    3. /etc/ssl/private/private.key – La chiave privata è posizionata direttamente in questa directory
    4. /opt/ssl/csr/domainname/domain.csr – Posiziono la CSR originale in questa directory per la mia futura referenza.

    Se si prevede di utilizzare i certificati SSL per servizi come Dovecot e Postfix è necessario anche i file *.pem . È ansible inserire questi file *.pem convertiti in /opt/ssl/csr/domainname/*.pem e creare un softlink nella directory /etc/ssl/certs .

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.