Peu importe où vous les mettez, tant que vous protégez correctement vos fichiers de clé privée . Le certificat public est public; aucune protection requise - privilèges de serveur ou autres.
Pour développer la réponse, je n'utilise pas l'emplacement par défaut /etc/ssl
.
Il est plus facile pour moi de garder tous les miens dans une zone séparée pour des raisons de sauvegarde + autres.
Pour Apache SSL, je conserve le mien /etc/apache2/ssl/private
ou une "zone racine" similaire dans /etc/
.
Exemple de configuration
Cet article est destiné à Ubuntu (Debian) + Apache, mais devrait fonctionner sur la plupart des systèmes -
Appliquez simplement les autorisations et mettez à jour l’emplacement / le chemin dans la configuration donnée (apache / nginx / etc).
Si les fichiers de clé SSL sont correctement protégés (répertoire et fichiers), tout ira bien. Notez les notes!
Créer des répertoires:
sudo mkdir /etc/apache2/ssl
sudo mkdir /etc/apache2/ssl/private
sudo chmod 755 /etc/apache2/ssl
sudo chmod 710 /etc/apache2/ssl/private
Note:
chmod 710
supporte les ssl-cert
groupes sous Ubuntu. (Voir les commentaires)
Réglage de l' autorisation de 700
le /etc/apache2/ssl/private
sera également très bien.
Placez les fichiers SSL:
Mettez les certificats publics www ssl avec les certificats intermédiaires dans
/etc/apache2/ssl
Mettez les clés privées ssl dans/etc/apache2/ssl/private
Propriétaire du set:
sudo chown -R root:root /etc/apache2/ssl/
sudo chown -R root:ssl-cert /etc/apache2/ssl/private/
Remarque:
Si vous n'avez pas de groupe ssl-cert , utilisez simplement 'root: root' sur la ligne ci-dessus ou ignorez la 2ème ligne.
Définir les autorisations:
Certificat (s) public (s)
sudo chmod 644 /etc/apache2/ssl/*.crt
Clé (s) privée (s)
sudo chmod 640 /etc/apache2/ssl/private/*.key
Remarque:
L'autorisation de groupe est définie sur READ (640) en raison du groupe Ubuntu ssl-cert. «600» est bien aussi.
Activer le module SSL Apache
sudo a2enmod ssl
Éditez tous les fichiers du site Apache et activez
(voir dernier paragraphe) *
sudo nano /etc/apache/sites-available/mysiteexample-ssl.conf
sudo a2ensite mysiteexample-ssl
# ^^^^^^^^^^^^^^^^^ <-Substitute your ".conf" filename(s)
Redémarrez le service Apache2
sudo service apache2 restart
ou
sudo systemctl restart apache2.service
Terminé. Testez votre nouveau site SSL.
* Encore une fois, cela va au-delà de la question, mais vous pouvez copier le fichier de configuration de site SSL Apache par défaut ( sudo cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/mysiteexample-ssl.conf
) comme bon point de départ / exemple de directives / répertoires par défaut normalement utilisés sous un simple fichier (conf) Apache / SSL (Ubuntu / Debian) . Il pointe normalement vers un certificat SSL auto-signé + clé (snakeoil), des ensembles d'autorités de certification, ainsi que des directives courantes utilisées pour un site SSL donné.
Après la copie, éditez simplement le nouveau fichier .conf et ajoutez-le / supprimez / mettez-le à jour si nécessaire avec les nouvelles informations / chemins ci-dessus, puis exécutez-le sudo a2ensite mysiteexample-ssl
pour l'activer.
.crt
place sur un panneau d'affichage Times Square, si vous le souhaitez.