SSL anahtarı izinleri?


15

Ben nginx güvenli bir bağlantı (https) kurmaya çalışıyorum.

Ancak, özel anahtarın herhangi bir öğreticide belirtilmeyen izinleri hakkında biraz endişeliyim.

Onları değiştirmeli miyim? Neye?

Yanıtlar:


16

Özel anahtarların okuması çok kısıtlanmış olmalıdır. Sahip 600olunan ve sahip olunan izinlerin ayarlanması rootgerekir. Ancak, başka güvenli izin ayarları da vardır - Ubuntu anahtarları sahibi rootve grubu ssl-certve izinleri olan bir dizinde saklar 710. Bu, söz ssl-certkonusu dizindeki herhangi bir dosyaya yalnızca üyelerin erişebileceği anlamına gelir . Özel anahtarların grup ssl-cert, sahip rootve izinleri olur 640.


2
Spesifik olarak ekleyeceğim: CentOS 7'de nginx kullanırken, sertifikayı veya özel anahtarı nginxgruptaki kişiler tarafından okunabilir hale getirmek gerekli değildir . Web sunucusu, yalnızca root(olması gerektiği gibi) tarafından okunabilir olsalar bile bunları kullanabilecektir .

4

Nginx kurulumu ile ilgili bir sorun yaşadım ve bu soruya rastladım. Buradaki diğer cevap zaten soruyu doğrudan yanıtladı ama biraz daha fazla bilginin yararlı olacağını düşündüm.

Normalde, nginx rootinit komut dosyaları / systemd tarafından kullanıcı olarak başlatılır . Bununla birlikte, nginx normal işlemler için daha az ayrıcalıklı bir kullanıcıya geçme özelliğine de sahiptir. Benim sorum ssl sertifikasını / anahtarını yüklemek için hangi kullanıcının kullanıldığı oldu? İlk ayrıcalıklı kullanıcı mı yoksa geçiş yapan kullanıcı mı?

Neyse ki, nginx, kullanıcıları değiştirmeden önce sertifikayı ve anahtarı belleğe okumak için ilk izinleri kullanır. Normalde, hala çalışırken nginx tarafından yüklendikleri için anahtarları çok kısıtlı izinlerle bırakabilirsiniz root.


Beni buraya indirdiğim sorun ssl_certificatesadece serverbloklarımda tanımlamamdı nginx.conf. [error] 18606#18606: *311 no "ssl_certificate" is defined in server listening on SSL port while SSL handshakingAnahtarlarımın doğru yerde olduğunu iyi ve iyi bildiğimde hata alıyordum . Bu sorunu ben yoktu olmasıydı ssl_certificatede httpdüzeyine nginx.conf.

Umarım bu birisi için yararlıdır.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.