SSL anahtarı izinleri?

Ben nginx güvenli bir bağlantı (https) kurmaya çalışıyorum.

Ancak, özel anahtarın herhangi bir öğreticide belirtilmeyen izinleri hakkında biraz endişeliyim.

Onları değiştirmeli miyim? Neye?

Özel anahtarların okuması çok kısıtlanmış olmalıdır. Sahip 600olunan ve sahip olunan izinlerin ayarlanması rootgerekir. Ancak, başka güvenli izin ayarları da vardır - Ubuntu anahtarları sahibi rootve grubu ssl-certve izinleri olan bir dizinde saklar 710. Bu, söz ssl-certkonusu dizindeki herhangi bir dosyaya yalnızca üyelerin erişebileceği anlamına gelir . Özel anahtarların grup ssl-cert, sahip rootve izinleri olur 640.

Nginx kurulumu ile ilgili bir sorun yaşadım ve bu soruya rastladım. Buradaki diğer cevap zaten soruyu doğrudan yanıtladı ama biraz daha fazla bilginin yararlı olacağını düşündüm.

Normalde, nginx rootinit komut dosyaları / systemd tarafından kullanıcı olarak başlatılır . Bununla birlikte, nginx normal işlemler için daha az ayrıcalıklı bir kullanıcıya geçme özelliğine de sahiptir. Benim sorum ssl sertifikasını / anahtarını yüklemek için hangi kullanıcının kullanıldığı oldu? İlk ayrıcalıklı kullanıcı mı yoksa geçiş yapan kullanıcı mı?

Neyse ki, nginx, kullanıcıları değiştirmeden önce sertifikayı ve anahtarı belleğe okumak için ilk izinleri kullanır. Normalde, hala çalışırken nginx tarafından yüklendikleri için anahtarları çok kısıtlı izinlerle bırakabilirsiniz root.

Beni buraya indirdiğim sorun ssl_certificatesadece serverbloklarımda tanımlamamdı nginx.conf. [error] 18606#18606: *311 no "ssl_certificate" is defined in server listening on SSL port while SSL handshakingAnahtarlarımın doğru yerde olduğunu iyi ve iyi bildiğimde hata alıyordum . Bu sorunu ben yoktu olmasıydı ssl_certificatede httpdüzeyine nginx.conf.

Umarım bu birisi için yararlıdır.