Le migliori pratiche per l'immissione dei certificati SSL da utilizzare in Apache 2?

In un ambiente in cui una manciata di server Apache sta eseguendo un gruppo di siti utilizzando certificati SSL per HTTPS, where dovrebbero essere inseriti questi certificati? In Debian o Ubuntu, dovrebbero essere inseriti tutti i file rilevanti in / etc / apache2 / ssl? O c'è qualche altra posizione più adatta per questo? Quali problemi di sicurezza dovrebbero essere affrontati quando si scelgono le posizioni per questi file per più siti web sullo stesso server?

  • Monitorare l'utilizzo della CPU per un periodo di tempo su Ubuntu
  • il passeggero elenca tutti i file delle cartelle pubbliche
  • Colbind un dominio a un'istanza Amazon EC2?
  • Cercando di installare MongoDB - non riesce a trovare mongo.so
  • come consentire l'indirizzo IP pubblico
  • Inoltro di porte agli ospiti in libvirt / KVM
  • EC2: Problemi di performance regolari senza ovvie contestazioni di risorse
  • tftpd consente le connessioni, ma interrompe il trasferimento di un file
  • 3 Solutions collect form web for “Le migliori pratiche per l'immissione dei certificati SSL da utilizzare in Apache 2?”

    FWIW, uso Debian.

    Posiziono tutte le chiavi private in /etc/ssl/private che ha la modalità di authorization 0700 . Posiziono tutti i certificati in /etc/ssl/certs che hanno la modalità di authorization 0755 . Il proprietario / gruppo per entrambi è root: root.

    In linea di principio, i tuoi file chiave SSL devono essere leggibili solo da un utente root (dovresti pubblicare due comandi su di loro: sudo chown root:root /path/to/your/keyfile.key sudo chmod 600 /path/to/your/keyfile.key sudo chown root:root /path/to/your/keyfile.key e sudo chmod 600 /path/to/your/keyfile.key ). I tuoi file di certificato possono essere leggibili in tutto il mondo. E 'sempre una buona idea mantenere le chiavi ei certificati al di fuori del tuo tree di documenti accessibile al web, /etc/apache/ssl dovrebbe funzionare bene.

    Le seguenti pratiche migliori per l'immissione di certificati SSL sono di solito funzionati bene per me:

    1. /usr/share/ca-certificates/domainname/ – Inserisci i file pubblici *.crt ottenuti dall'autorità CA qui
    2. /etc/ssl/certs – Crea collegamenti simbolici ai file inseriti nella /usr/share/ca-certificates/domainname/ directory
    3. /etc/ssl/private/private.key – La chiave privata è posizionata direttamente in questa directory
    4. /opt/ssl/csr/domainname/domain.csr – Posiziono la CSR originale in questa directory per la mia futura referenza.

    Se si prevede di utilizzare i certificati SSL per servizi come Dovecot e Postfix è necessario anche i file *.pem . È ansible inserire questi file *.pem convertiti in /opt/ssl/csr/domainname/*.pem e creare un softlink nella directory /etc/ssl/certs .

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.