Добрый день, как максимально безопасно хранить SSL сертификаты в Linux?
На Ubuntu использую зашифрованный .key файл, Nginx при старте запрашивает пароль. Схема вроде бы устойчивая от кражи и компрометации.
На Debian 8 начинай с Nginx 1.6 убрали поддержку зашифрованных .key файлов, пароль пришлось снять.
Как теперь правильно хранить сертификат? Где, с какими правами и в каком виде?
Обычно рекомендуется chmod 600 на файлы
Зашифрованный key-файл - паранойя и лишние трудности. В CentOS оно хранится в /etc/pki/tls/private. Права на каталог 0700, на все ключи - 0400. Если Вы не полагаетесь на права, значит предполагаете, что Вас хакнули на уровне ядра. Если это на самом деле так - тут бесполезно все. Поэтому храните в расшифрованном виде там где по layout-у они должны лежать с правами 0400 на файлы и 0700 на каталог - и не заморачивайтесь.
могу предложить:
1. Копать в сторону криптопровайдера NSS - у него есть свои контейнеры
2. SELinux или прочие схемы усиления контроля доступа
3. Хуки с криптоконтейнерами aka LUKS
4. Аппаратные токены pkcs11 (не подскажу на счёт nginx)
так или иначе нужно будет делать обвязку
Простой
