Дійсно, не важливо, куди ви їх розмістите, якщо ви належним чином захищаєте файли приватного ключа . Відкритий сертифікат є публічним; не потрібен захист - привілеї сервера чи інше.
Щоб розширити відповідь, я не використовую розташування за замовчуванням /etc/ssl
.
Мені простіше тримати все моє в окремій зоні через резервне копіювання + інші причини.
Для Apache SSL я зберігаю шахту в /etc/apache2/ssl/private
подібній кореневій області /etc/
.
Приклад налаштування
Ця публікація спрямована на Ubuntu (Debian) + Apache, але повинна працювати в більшості систем.
Просто застосуйте дозволи та оновіть місце розташування / шлях у заданому конфігурації (apache / nginx / тощо).
Якщо файли ключів SSL захищені правильно (каталог та файли), у вас все буде в порядку. Зверніть увагу на замітки!
Створення каталогів:
sudo mkdir /etc/apache2/ssl
sudo mkdir /etc/apache2/ssl/private
sudo chmod 755 /etc/apache2/ssl
sudo chmod 710 /etc/apache2/ssl/private
Примітка:
chmod 710
підтримує ssl-cert
групу під Ubuntu. (Див. Коментарі)
Установлення дозволу на 700
ввімкнення /etc/apache2/ssl/private
також буде добре працювати.
Розмістіть файли SSL:
Помістіть загальнодоступні сертифікати www ssl разом з проміжними сертифікатами в
/etc/apache2/ssl
Помістити приватні ключі ssl у/etc/apache2/ssl/private
Встановити власника:
sudo chown -R root:root /etc/apache2/ssl/
sudo chown -R root:ssl-cert /etc/apache2/ssl/private/
Примітка:
Якщо у вас немає групи ssl-cert , просто використовуйте 'root: root' у рядку вище або пропустіть другий рядок.
Встановити дозволи:
Публічний сертифікат
sudo chmod 644 /etc/apache2/ssl/*.crt
Приватний ключ
sudo chmod 640 /etc/apache2/ssl/private/*.key
Примітка.
Для дозволу групи встановлено значення READ (640) завдяки Ubuntu ssl-cert групі. "600" також добре.
Увімкніть модуль SSL Apache
sudo a2enmod ssl
Відредагуйте будь-які файли сайту Apache та увімкніть
(див. останній абзац) *
sudo nano /etc/apache/sites-available/mysiteexample-ssl.conf
sudo a2ensite mysiteexample-ssl
# ^^^^^^^^^^^^^^^^^ <-Substitute your ".conf" filename(s)
Перезапустіть сервіс Apache2
sudo service apache2 restart
або
sudo systemctl restart apache2.service
Зроблено. Перевірте свій новий SSL-сайт.
* Знову це виходить за межі питання, але ви можете скопіювати файл конфігурації сайту Apache SSL за умовчанням ( sudo cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/mysiteexample-ssl.conf
) як гарну вихідну точку / приклад директив / каталогів за замовчуванням, які зазвичай використовуються у простому (конфіденційному) файлі Apache / SSL Apache / SSL . Зазвичай він вказує на самопідписаний сертифікат SSL + ключ (snakeoil), пакети CA, а також загальні директиви, які використовуються для певного сайту SSL.
Після копіювання просто відредагуйте новий .conf файл і додайте / видаліть / оновіть його за необхідності з новою інформацією / шляхами вище та виконайте, sudo a2ensite mysiteexample-ssl
щоб увімкнути його.
.crt
Якщо ви хочете, ви можете розмістити свій рекламний щит на Таймс-сквер.