it-swarm.com.de

Welche Dateiberechtigungen sind für Zertifikatdateien erforderlich?

Ich bin gespannt, was die Dateiberechtigung der SSL-Zertifikatsdateien sein soll. Da Sie wirklich nicht möchten, dass jemand den Serverschlüssel physisch kopiert, warum machen die Hosts ihn dann für alle lesbar? (644)

1
drtechno

Dies ist teilweise subjektiv und insbesondere, weil Ihre Frage zu viele Kontextpunkte enthält, wie: Welche Anwendungen verwenden diese Zertifikate, welches Betriebssystem (basierend auf Ihrer Erwähnung von 644 sprechen Sie anscheinend über Unix-Systeme - in diesem Fall sagen Sie rw-r--r-- scheint mir viel lesbarer zu sein - aber es gibt andere Betriebssysteme da draußen), welche Sicherheitsstufe usw.

Also lasst uns ein wenig zurückgehen. Für typische HTTPS-PKI-Vorgänge muss ein Server über ein Zertifikat (in der Regel pro virtuellem Host) verfügen, bei dem es sich im Wesentlichen um den öffentlichen Teil eines Schlüssels und separat um die private Schlüsseldatei handelt. Wir werden diese häufig als: das Zertifikat und den Schlüssel sehen.

Persönliche Pet-Peeve-Ablenkung: Sagen Sie nicht mehr "SSL-Zertifikat", auch wenn dies jeder tut, da dies ein doppelter Fehler ist. Erstens gibt es kein SSL mehr, wir machen heutzutage TLS. Und dann ist es wirklich ein X.509-Zertifikat, das für die TLS-Kommunikation verwendet wird, da Sie TLS auch ohne Zertifikate oder TLS mit anderen Schlüsselmaterialien als dem X.509-Zertifikat ausführen können. Diese beiden Dinge sind also tatsächlich unabhängig.

Das Zertifikat ist per Definition öffentlich. So kann es jedem zugänglich gemacht werden, der "weltlesbar" ist. Wie bei jeder anderen Datei würde ich jedoch sicherstellen, dass sie nicht der gleichen UID gehört (noch dem Verzeichnis, in dem sie sich befindet), unter der der Webserver ausgeführt wird.

Der Schlüssel ist per Definition privat. Aufgrund anderer Einschränkungen sollten die Unix-Rechte so gering wie möglich sein. Wenn es der gleichen UID gehört wie der Webserver (nicht der Fall, den ich empfehle), kann es r-------- sein; Andernfalls wäre es eine sinnvolle Option, das Eigentum von root oder einem anderen Administratorkonto zu übernehmen und eine Gruppe für den Webserver zu erstellen, damit die Rechte rw-r----- lauten.

1
Patrick Mevzek