Я создал следующие файлы для своего веб-сервера lighttpd для соединений https:
$ ls -al /etc/lighttpd/ssl
drwxr-xr-x 2 root root 4096 Oct 21 12:51 .
drwxr-xr-x 4 root root 4096 Oct 20 16:04 ..
-rw-r--r-- 1 http http 1663 Oct 20 15:49 server.crt
-rw-r--r-- 1 root root 1062 Oct 20 15:48 server.csr
-rw------- 1 root root 1704 Oct 20 15:48 server.key
-rw-r----- 1 alarm http 3367 Oct 20 16:02 server.pem
-rw------- 1 root root 1751 Oct 20 15:48 rootCA.key
-rw-r--r-- 1 root root 1330 Oct 20 15:48 rootCA.pem
-rw-r--r-- 1 root root 41 Oct 20 15:49 rootCA.srl
где server.*
- мои очевидные файлы веб-сервера, а файлы rootCA.*
- мои файлы центра сертификации (CA), которые я использовал для создания самозаверяющего сертификата (https://alexanderzeitler.com/articles/Fixing-Chrome-missing_subjectAltName-selfsigned- cert-openssl/). Чтобы lighttpd использовал мой сертификат (crt), мне нужно было создать файл в формате pem, но я сделал:
sudo cat server.crt server.key > server.pem
для создания файла в формате pem. Я установил свой файл rootCA.pem в Chrome (чтобы он распознавал центр сертификации и не жаловался на то, что веб-сайт «не защищен»).
Так что мои вопросы
- мои права доступа к файлам в порядке безопасности или я должен изменить права доступа владельца / группы и файла на что-то другое?
- Как насчет прав доступа к каталогу / etc / lighttpd / ssl?
- Где я должен был выполнить команду
sudo cat server.crt server.key > server.pem
выше, добавив myserver.key
в файл pem, разве это не раскрыло мой закрытый ключ, сделав этот файлserver.pem
читаемым по http?
Мой server.pem должен быть доступен для чтения на моем сервере lighttpd, так как пользователь, который запускает lighttpd - это http.