通常情况下,apache web服务器需要SSL证书才能从文件加载。这使得证书可以存储在apache Web服务器磁盘中。这是否被视为安全风险?是否有一套保护这些证书的准则?我有一个客户认为这是一个风险,我想证明他不是这样,或者给出一个解决方案。到目前为止,我还没有找到好的解决方案。即使我们使用像HashiCorp保险库这样的解决方案,证书仍然需要提供给apache服务器磁盘。任何关于保护此ssl证书的建议或指导方针,或任何以安全方式存储ssl证书的最佳实践都非常有用。
方法:1(旧版(维护磁盘中的证书并保护保存证书的目录。以下步骤是确保磁盘中证书安全的一个选项。
- 将证书目录的权限更改为"700",以限制服务器的其他用户不能访问(用于读/写/删除(文件
- 更改保存证书和启动脚本路径的apachebin和conf目录的权限。这也将受到其他用户的限制
- 禁用sftp&用于apache用户的scp,以避免在服务器外发送任何文件
方法:2与HSM硬件集成以生成和存储SSL证书,并通过HSM卸载加密和解密来提高性能。市场上很少有像泰雷兹的Luna HSM那样将Apache Web服务器与HSM集成的市场供应商(https://cpl.thalesgroup.com/resources/encryption/apache-http-server-luna-integration-guide)、nCipher HSM、AWS CloudHSM等
私钥是您需要保护的;而不是证书。保护私钥的最佳方法是使用硬件设备,如智能卡、USB令牌或硬件安全模块(HSM(。
数字证书包含公钥,该公钥大部分是公开分发的。即使有人得到了它,他们也几乎无能为力。