【问题标题】:Securing SSL certificate and private key in apache server?在 apache 服务器中保护 SSL 证书和私钥?
【发布时间】:2021-03-24 21:30:32
【问题描述】:

通常 apache 网络服务器需要 SSL 证书才能从文件加载。这使得证书存储在 apache webserver 磁盘中。这是否被视为安全风险?是否有一套指导方针来保护这些证书?我有客户认为这是一种风险,我想证明他不是这样或给出解决方案。到目前为止,我还没有遇到好的解决方案。即使我们使用 HashiCorp vault 之类的解决方案,仍然需要将证书提供给 apache 服务器磁盘。任何保护此 ssl 证书的建议或指南或任何以安全方式存储 ssl 证书的最佳实践都非常有帮助。

【问题讨论】:

  • 在服务器上托管证书没有风险。这不是密码...

标签: ssl https apache2 hashicorp-vault


【解决方案1】:

方法:1(旧) 将证书保存在磁盘中并保护保存证书的目录。以下步骤是保护磁盘中证书的一个选项。

  1. 将证书目录的权限更改为“700”以限制服务器的其他用户无法访问(用于读/写/删除)文件
  2. 更改保存证书路径和启动脚本路径的 apache bin 和 conf 目录的权限。这也被其他用户限制
  3. 为 apache 用户禁用 sftp 和 scp 以避免在服务器外部发送任何文件

方法:2 与 HSM 硬件集成以生成和存储 SSL 证书,并通过 HSM 卸载加密和解密来提高性能。 市场上很少有市场供应商可以将 Apache Web 服务器与 HSM 集成,例如 Thales (https://cpl.thalesgroup.com/resources/encryption/apache-http-server-luna-integration-guide) 的 Luna HSM、nCipher HSM、AWS CloudHSM 等。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2016-10-07
    • 2015-12-02
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2015-07-19
    • 1970-01-01
    相关资源
    最近更新 更多