Non importa dove li metti purché protegga correttamente i tuoi file di chiavi private . Il certificato pubblico è pubblico; nessuna protezione necessaria - privilegi del server o altro.
Per espandere la risposta, non utilizzo la posizione predefinita /etc/ssl
.
È più facile per me conservare tutti i miei in un'area separata a causa di backup + altri motivi.
Per Apache SSL, tengo il mio /etc/apache2/ssl/private
o "root area" simile dentro /etc/
.
Esempio di installazione
Questo post è orientato verso Ubuntu (Debian) + Apache, ma dovrebbe funzionare sulla maggior parte dei sistemi -
Basta applicare le autorizzazioni e aggiornare la posizione / il percorso in una determinata configurazione (apache / nginx / etc).
Se i file della chiave SSL sono protetti correttamente (directory e file), andrà tutto bene. Nota le note!
Crea directory:
sudo mkdir /etc/apache2/ssl
sudo mkdir /etc/apache2/ssl/private
sudo chmod 755 /etc/apache2/ssl
sudo chmod 710 /etc/apache2/ssl/private
Nota:
chmod 710
supporta il ssl-cert
gruppo sotto Ubuntu. (Vedi commenti) Anche l'
impostazione dell'autorizzazione su 700
on /etc/apache2/ssl/private
funzionerà correttamente.
Inserisci file SSL:
Inserisci i certificati ssl pubblici www insieme ai certificati intermedi in
/etc/apache2/ssl
Inserisci chiavi ssl private/etc/apache2/ssl/private
Imposta proprietario:
sudo chown -R root:root /etc/apache2/ssl/
sudo chown -R root:ssl-cert /etc/apache2/ssl/private/
Nota:
se non si dispone del gruppo ssl-cert , utilizzare 'root: root' nella riga sopra o saltare la seconda riga.
Imposta autorizzazioni:
Certificato / i pubblico / i
sudo chmod 644 /etc/apache2/ssl/*.crt
Chiave / e privata / e
sudo chmod 640 /etc/apache2/ssl/private/*.key
Nota:
l'autorizzazione del gruppo è impostata su READ (640) a causa del gruppo ssl-cert di Ubuntu. Anche '600' va bene.
Abilita il modulo SSL di Apache
sudo a2enmod ssl
Modifica tutti i file del sito Apache e abilita
(vedi ultimo paragrafo) *
sudo nano /etc/apache/sites-available/mysiteexample-ssl.conf
sudo a2ensite mysiteexample-ssl
# ^^^^^^^^^^^^^^^^^ <-Substitute your ".conf" filename(s)
Riavvia il servizio Apache2
sudo service apache2 restart
o
sudo systemctl restart apache2.service
Fatto. Prova il tuo nuovo sito SSL.
* Ancora una volta questo va oltre la domanda, ma è possibile copiare il file di configurazione del sito Apache SSL predefinito ( sudo cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/mysiteexample-ssl.conf
) come un buon punto di partenza / esempio di direttive / directory predefinite normalmente utilizzate in un semplice file 'conf' (Ubuntu / Debian) Apache / SSL . Normalmente indica un certificato SSL autofirmato + chiave (snakeoil), bundle CA e direttive comuni utilizzate per un determinato sito SSL.
Dopo aver copiato, basta modificare il nuovo file .conf e aggiungerlo / rimuoverlo / aggiornarlo secondo necessità con le nuove informazioni / percorsi sopra, quindi eseguirlo sudo a2ensite mysiteexample-ssl
per abilitarlo.
.crt
su un cartellone di Times Square, se vuoi.