Où enregistrer les certificats ssl?

Support Debian
#1

Bonjour,
Afin de gérer au mieux un serveur, je me demandais où enregistrer les certificats ssl utilisés par ce serveur (https, jabber, dovecot…)?

Y a-t-il un dossier à privilégier? J’avais pensé à /usr/local mais j’aurais besoin de votre avis averti.

:006

#2

Salut,

je te conseillerais le dossier /etc/ssl/certs avec les autres certificats :slightly_smiling:

#3

du même avis :wink:

#4

Tout simplement?
Aucun souci si j’utilise le même certificat pour différents services alors dans ce cas là?

#5

Rien n’est figé, mais c’est vrai qu’on met souvent ces fichiers dans un sous dossier de /etc.

Attention surtout, à bien protéger l’accès (en lecture et écriture) contre les yeux indiscrets, si un certificat et sa clé privée sont stockées dans le même fichier. (bien protéger les clés privées dans tous les cas :stuck_out_tongue: )

Plusieurs services peuvent tout à fait utiliser les mêmes certifs/clés (cf. Postfix et Apache, si tu créé un certif auto-signé via la commande make-ssl-cert)

#6

Merci pour cette réponse :slightly_smiling: .

Du coup, pour être bien sûr, si tout est dans le même fichier, je donne les droits à 444 ?

#7

Plutôt 640 (lisible seulement par son propriétaire : root)

Sur mon système :

root@lowpowerdesktop:/home/fred# ls -al /etc/ssl/
total 52
drwxr-xr-x   4 root root      4096 juin  15 14:17 .
drwxr-xr-x 158 root root     12288 nov.  16 01:03 ..
drwxr-xr-x   3 root root     20480 oct.  13 16:59 certs
-rw-r--r--   1 root root     10835 mars  18  2013 openssl.cnf
drwx--x---   2 root ssl-cert  4096 août   6 17:32 private
root@lowpowerdesktop:/home/fred# ls -al /etc/ssl/private/
total 12
drwx--x--- 2 root ssl-cert 4096 août   6 17:32 .
drwxr-xr-x 4 root root     4096 juin  15 14:17 ..
-rw-r----- 1 root ssl-cert 1704 août   6 17:32 ssl-cert-snakeoil.key
#8

Dernière vérification pour être sûr, cette commande est-elle alors tout à fait valable :

[code]# openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/certs/HOSTNAME.pem -out /etc/ssl/certs/HOSTNAME.pem

chmod 640 /etc/ssl/certs/HOSTNAME.pem

[/code]

#9

mets-le plutôt dans /etc/ssl/private puisqu’il contient la clé privée

chown root:root <fichier.pem>
chmod 600 <fichier.pem>

#10

Merci cher monsieur :023

#11

Salut,

[quote=“thuban”]Y a-t-il un dossier à privilégier? J’avais pensé à /usr/local mais j’aurais besoin de votre avis averti.
[/quote]

À mon avis, hein … :083 le chemin absolu du répertoire contenant le certificat (voir les certificats) n’ai guère une priorité en soit.

Du moment que ce dernier soit déclaré en lieu et place, à savoir (pour apache) le(s) virtualhost(s) adéquate.

Extrait et exemple.

[code]

SSLCertificateFile /labas/truc_machin/ssl/Domaine.com.pem
SSLCertificateChainFile /labas/truc_machin/ssl/sub.class1.server.ca.pem
SSLCACertificateFile /labas/truc_machin/ssl/ca.pem

…[/code]

:wink: