複数のデーモン アプリケーションが、同じ TLS 証明書 (またはチェーン、またはプライベート) キーにアクセスしようとしています。
- NGINX は /etc/letsencrypt/live/example.org/privkey.pem にアクセスしたい
- アパッチもそうです。
- そしてバインド。
- そして私のお気に入りの [sftdyn] Github パッケージ。
そして、それらはすべて異なる GID とグループ名でデーモンを実行します。
秘密鍵を安全な方法で保護しながら、次のさまざまなアプローチを使用して (独自の GID を持つ) さまざまなデーモン間で共有する試み (および後でいくつかは廃止されました) は次のとおりです。
ファイルパーミッションを「blaze ofGlory」に設定します
chmod a+rwx。秘密の privkey.pem ファイルがファイルシステム全体に公開されるため、これは修正されました。新しいグループ
keysを作成nginxしapache、、、named(またはbind)、およびsftdynグループをkeys/etc/group 内のグループに (または を使用してadduser nginx keys) 追加します。keysPEM ファイルで新しいグループを使用します。次に、PEM ファイルのアクセス許可をchmod 0640.を使用し
setfaclます。
この厄介な問題に対処するには、2 つまたは 3 つのうちどれが最適ですか?