उबंटू पर, यह एक प्रमाण पत्र पर हस्ताक्षर करने के लिए इस्तेमाल की जाने वाली निजी कुंजी के लिए सबसे अच्छी जगह की तरह दिखता है (नगीनेक्स द्वारा उपयोग के लिए) /etc/ssl/private/
यह उत्तर जोड़ता है कि प्रमाण पत्र में जाना चाहिए /etc/ssl/certs/लेकिन यह एक असुरक्षित जगह की तरह लगता है। क्या .crtफ़ाइलों को सुरक्षित रखने की आवश्यकता है या क्या उन्हें सार्वजनिक माना जाता है?
जवाबों:
.Crt फ़ाइल कनेक्ट होने वाली हर चीज़ पर भेजी जाती है; यह सार्वजनिक है। ( chown root:rootऔर chmod 644)
निजी कुंजी स्थान में जोड़ने के लिए; सुनिश्चित करें कि आप इसे ठीक से सुरक्षित करने के साथ-साथ इसमें मौजूद हैं। ( chown root:ssl-certऔर chmod 640)
ssl-certहै, शायद अन्य बातों के अलावा, स्व-हस्ताक्षरित
यह वास्तव में कोई फर्क नहीं पड़ता है कि आप उन्हें कहाँ तक डालते हैं जब तक आप अपनी निजी कुंजी फ़ाइल (नों) को ठीक से संरक्षित नहीं करते हैं । सार्वजनिक प्रमाणपत्र सार्वजनिक है, कोई सुरक्षा की जरूरत नहीं है - सर्वर विशेषाधिकार या अन्यथा।
उत्तर पर विस्तार करने के लिए, मैं डिफ़ॉल्ट स्थान का उपयोग नहीं करता हूं /etc/ssl।
मेरे लिए बैकअप + अन्य कारणों से सभी खानों को एक अलग क्षेत्र में रखना आसान है।
अपाचे एसएसएल के लिए, मैं अपना /etc/apache2/ssl/privateया समान "रूट एरिया" में रखता हूं /etc/।
यह पोस्ट उबंटू (डेबियन) + अपाचे की ओर गियर है, लेकिन अधिकांश सिस्टम पर काम करना चाहिए -
बस अनुमतियों को लागू करें और दिए गए कॉन्फ़िगरेशन (अपाचे / nginx / etc) में स्थान / पथ को अपडेट करें।
यदि SSL कुंजी फाइलें सही ढंग से संरक्षित की जाती हैं (निर्देशिका और फाइलें), तो आप ठीक हो जाएंगे। नोट नोट करें!
sudo mkdir /etc/apache2/ssl
sudo mkdir /etc/apache2/ssl/private
sudo chmod 755 /etc/apache2/ssl
sudo chmod 710 /etc/apache2/ssl/private
नोट: उबंटू के तहत समूह chmod 710का समर्थन करता है ssl-cert। (टिप्पणियां देखें) पर
अनुमति सेट करना भी ठीक काम करेगा।700/etc/apache2/ssl/private
रखो सार्वजनिक में मध्यवर्ती प्रमाणपत्र (रों) के साथ-साथ www SSL प्रमाणपत्र (रों)
/etc/apache2/ssl
रखो निजी ssl कुंजी (रों) में/etc/apache2/ssl/private
sudo chown -R root:root /etc/apache2/ssl/
sudo chown -R root:ssl-cert /etc/apache2/ssl/private/
नोट:
यदि आपके पास ssl- सर्टिफिकेट समूह नहीं है, तो बस उपर्युक्त लाइन पर 'root: root' का प्रयोग करें या 2nd लाइन छोड़ें।
सार्वजनिक प्रमाण पत्र
sudo chmod 644 /etc/apache2/ssl/*.crt
निजी कुंजी
sudo chmod 640 /etc/apache2/ssl/private/*.key
नोट:
समूह की अनुमति उबंटू एसएसएल-सर्टिफिकेट समूह के कारण READ (640) पर सेट है। '600' भी ठीक है।
sudo a2enmod ssl
(अंतिम पैराग्राफ देखें) *
sudo nano /etc/apache/sites-available/mysiteexample-ssl.conf
sudo a2ensite mysiteexample-ssl
# ^^^^^^^^^^^^^^^^^ <-Substitute your ".conf" filename(s)
sudo service apache2 restart
या
sudo systemctl restart apache2.service
* फिर से यह प्रश्न से परे चला जाता है, लेकिन आप डिफ़ॉल्ट Apache SSL साइट कॉन्फ़िगरेशन फ़ाइल ( sudo cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/mysiteexample-ssl.conf) को एक सामान्य प्रारंभिक बिंदु / उदाहरण के रूप में कॉपी कर सकते हैं, जो कि सामान्य (Ubuntu / Debian) Apache / SSL 'conf' फ़ाइल के तहत सामान्य रूप से उपयोग किए जाने वाले डिफ़ॉल्ट निर्देशों / निर्देशिकाओं का उदाहरण है। । यह आम तौर पर एक स्व-हस्ताक्षरित एसएसएल प्रमाणपत्र + कुंजी (स्नैकोइल), सीए बंडल, साथ ही एक दिए गए एसएसएल साइट के लिए उपयोग किए जाने वाले सामान्य निर्देशों को इंगित करता है ।
कॉपी करने के बाद, बस नई .conf फ़ाइल को संपादित करें और इसे जोड़ने / हटाने / अपडेट करने के लिए आवश्यकतानुसार नई जानकारी / पथ के साथ फिर sudo a2ensite mysiteexample-sslइसे सक्षम करने के लिए निष्पादित करें।
<VirtualHost *:443>अनुभाग में आपके sites-available/mysite.confप्रमाणपत्र शामिल होने चाहिए, जैसे:SSLEngine on SSLCertificateFile /etc/apache2/ssl/mysite.crt SSLCertificateKeyFile /etc/apache2/ssl/private/mysite.key
यहाँ सभी उत्तर ठीक प्रतीत होते हैं, लेकिन मैं एक बात का उल्लेख करना चाहता हूँ जो मुझे मिली है वह एक समस्या है ... यदि आपको अपने प्रमाण पत्र को इंटरमीडिएट या रूट के साथ एक चैन फाइल के साथ लाना है, तो उसे मत डालें /etc/ssl/certs, क्योंकि जब c_rehashचलाया जाता है, यह आपके सीरियलों में जड़ या मध्यवर्ती होने के कारण हैश सीमलिंक बना सकता है।
फिर बाद में सड़क के नीचे अगर आपके सीरेट्स की समय सीमा समाप्त हो गई है और आप उन्हें हटा देते हैं, और फिर से चलाने के लिए नहीं जानते हैं c_rehash, तो हो सकता है कि आप अपनी /etc/ssl/certsनिर्देशिका में हैश सीमलिंक तोड़ चुके हों , और अजीब चीजें तब होने लगती हैं जब आपकी स्थानीय मशीन खुद से कनेक्ट होने की कोशिश करती है एसएसएल, और यह जड़ों के खिलाफ मान्य करने के लिए नहीं मिल सकता है। उदाहरण के लिए, कर्ल के साथ मुझे अचानक मिलना शुरू हुआ:
curl: (60) SSL certificate problem: unable to get issuer certificate
कुछ पुरानी .crt और concatenated .pem फ़ाइलों की सफाई करने के कुछ समय बाद ही मेरे पास थी /etc/ssl/certs।
कम से कम अपनी जंजीरों को कहीं और जमा करना इस समस्या से बचा जाता है। मैंने /etc/ssl/local_certsअपने अनाज और जंजीरों को धारण करने के लिए समाप्त कर दिया है , इसलिए वे उन सीए समारोहों की गड़बड़ी में नहीं खोए हैं जिन्हें आप खोज लेंगे/etc/ssl/certs
वास्तव में एक असुरक्षित जगह नहीं है यदि व्यक्तिगत फ़ाइलों / निर्देशिका के लिए अनुमति कुछ इस तरह सेट की जाती है chown root :0 private.keyऔर chmod 600 private.keyताकि केवल रूट इसे पढ़ सकें। सीएसआर और सर्टिफिकेट फाइल आपके कहे अनुसार कम संवेदनशील हैं।
उन अनुमतियों के साथ आपके द्वारा उल्लिखित पथ और usr / स्थानीय / ssl ठीक होना चाहिए।
स्थान सही हैं:
/etc/ssl/certs/के लिए .crtफ़ाइल/etc/ssl/privateके लिए .keyफ़ाइलमालिकroot:root दोनों के लिए होना चाहिए ( sudo chmod root:root <file>यदि आवश्यक हो तो बदलने के लिए उपयोग करें)।
अनुमतियाँ :
644के लिए .crtफ़ाइल600के लिए .keyफ़ाइलइसके लिए काम करेंगे nginx।
.crtपसंद के हिसाब से टाइम्स स्क्वायर बिलबोर्ड पर रख सकते हैं।