Tom: APACHE 2.2: SSL Eigenzertifikat einrichten, Rechte?

Beitrag lesen

Hello,

In Bezug auf dein letztes Posting zu Rechten:
Rechte sollten immer so restriktiv wie möglich und so freizügig wie nötig gesetzt werden.
D.h. konkret für die Zertifikate/Schlüssel, dass sie dem Apachen (unter Debian: www-data) gehören sollten, und nur er außschließlich Leserechte auf sie hat. Also chown www-data file.crt und chmod 400 file.crt.

Meisnt Du nicht besser, dass sie root gehören sollten? Der Apache läuft ja unter root, nur seine öffentlichen Kinder laufen unter dem user (z.B. www-data)

Zur Zeit ist auf dem Testserver durch die automatische Installation von openssl eingerichtet:

debian4:~# cd /etc/ssl
debian4:/etc/ssl# ls -la
insgesamt 40
drwxr-xr-x   4 root root      4096 2008-11-01 19:38 .
drwxr-xr-x 116 root root      4096 2009-03-10 18:31 ..
drwxr-xr-x   2 root root     16384 2009-03-10 13:20 certs               <---
-rw-r--r--   1 root root      9374 2008-08-04 01:06 openssl.cnf
drwx--x---   2 root ssl-cert  4096 2009-03-10 13:21 private             <---
debian4:/etc/ssl#

und dann in den Verzeichnissen ganz normal 644 für die Files

An die private Keys sollte ja möglichst niemand anderes herankommen.
Das hat bei mir eben die Frage aufgeworfen, wer muss denn die Certificates lesen können?

Liebe Grüße aus Syburg bei Dortmund

Tom vom Berg

--
Nur selber lernen macht schlau
http://bergpost.annerschbarrich.de