Tidak masalah di mana Anda meletakkannya selama Anda benar-benar melindungi file kunci pribadi Anda . The sertifikat publik adalah publik; tidak diperlukan perlindungan - hak istimewa server atau sebaliknya.
Untuk memperluas jawabannya, saya tidak menggunakan lokasi default /etc/ssl
.
Lebih mudah bagi saya untuk menyimpan semua tambang di area terpisah karena cadangan + alasan lain.
Untuk Apache SSL, saya menyimpan bagian saya di /etc/apache2/ssl/private
atau "area root" yang serupa /etc/
.
Contoh Pengaturan
Posting ini diarahkan ke Ubuntu (Debian) + Apache, tetapi harus bekerja pada kebanyakan sistem -
Cukup terapkan izin dan perbarui lokasi / jalur dalam konfigurasi yang diberikan (apache / nginx / etc).
Jika file kunci SSL dilindungi dengan benar (direktori & file), Anda akan baik-baik saja. Catat catatannya!
Buat direktori:
sudo mkdir /etc/apache2/ssl
sudo mkdir /etc/apache2/ssl/private
sudo chmod 755 /etc/apache2/ssl
sudo chmod 710 /etc/apache2/ssl/private
Catatan:
chmod 710
mendukung ssl-cert
grup di bawah Ubuntu. (Lihat komentar)
Menetapkan izin 700
pada /etc/apache2/ssl/private
juga akan berfungsi dengan baik.
Tempatkan file SSL:
Masukkan sertifikat www ssl publik bersama dengan sertifikat antara di
/etc/apache2/ssl
Masukkan kunci privat ssl/etc/apache2/ssl/private
Tetapkan pemilik:
sudo chown -R root:root /etc/apache2/ssl/
sudo chown -R root:ssl-cert /etc/apache2/ssl/private/
Catatan:
Jika Anda tidak memiliki grup ssl-cert , cukup gunakan 'root: root' di baris di atas atau lewati baris ke-2.
Tetapkan izin:
Sertifikat Publik
sudo chmod 644 /etc/apache2/ssl/*.crt
Kunci Pribadi
sudo chmod 640 /etc/apache2/ssl/private/*.key
Catatan:
Izin grup diatur ke BACA (640) karena grup ssl-cert Ubuntu. '600' juga baik-baik saja.
Aktifkan modul Apache SSL
sudo a2enmod ssl
Edit semua file situs Apache dan aktifkan
(lihat paragraf terakhir) *
sudo nano /etc/apache/sites-available/mysiteexample-ssl.conf
sudo a2ensite mysiteexample-ssl
# ^^^^^^^^^^^^^^^^^ <-Substitute your ".conf" filename(s)
Mulai ulang layanan Apache2
sudo service apache2 restart
atau
sudo systemctl restart apache2.service
Selesai. Uji situs SSL baru Anda.
* Sekali lagi ini melampaui pertanyaan, tetapi Anda dapat menyalin file konfigurasi situs Apache SSL default ( sudo cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/mysiteexample-ssl.conf
) sebagai titik awal / contoh arahan / direktori default yang biasanya digunakan di bawah file Apache / SSL 'conf' yang sederhana (Ubuntu / Debian) . Biasanya menunjuk ke kunci + sertifikat SSL yang ditandatangani sendiri (snakeoil), bundel CA, serta arahan umum yang digunakan untuk situs SSL tertentu.
Setelah menyalin, cukup edit file .conf baru dan tambahkan / hapus / perbarui sesuai kebutuhan dengan jalur / informasi baru di atas kemudian jalankan sudo a2ensite mysiteexample-ssl
untuk mengaktifkannya.
.crt
di papan iklan Times Square, jika mau.