tuning hardening enable security apache pki

security - hardening - ¿Por qué se necesita SSLCertificateKeyFile para Apache?



apache2 security hardening (3)

El archivo de certificado SSL contiene el certificado X.509 (que, a su vez, contiene una clave pública utilizada para el cifrado). El archivo de clave de certificado SSL contiene la clave privada correspondiente a la clave pública en el certificado. Para que el servidor web pueda cifrar y descifrar el tráfico, debe tener la clave pública (certificado) y la clave privada correspondiente. Apache, a diferencia de muchos otros productos de servidor, almacena la clave y el certificado en archivos separados. Los productos basados ​​en Java, por ejemplo, suelen usar archivos Java KeyStore, que son una base de datos cifrada que contiene el certificado y la clave privada.

¿Cuál es la razón técnica por la que se necesita SSLCertificateKeyFile (la clave privada)? ¿Dónde se usa y para qué?

Por lo general hay tres directivas incluidas:

SSLCertificateFile /opt/csw/apache2/certs/icompany/publicCert.pem SSLCertificateChainFile /opt/csw/apache2/certs/icompany/chain.pem SSLCertificateKeyFile /opt/csw/apache2/certs/icompany/PrivateKeyCert.pem

SSLCertificateFile debe contener solo la parte pública de su certificado, que desea entregar desde el sitio web al cliente.

Si se especifica SSLCertificateChainFile , el servidor web adjuntará los certificados asociados (para construir una cadena completa a una CA raíz) al certificado del servidor web. También puede poner la parte privada de su certificado en el archivo como se especifica en SSLCertificateFile pero esto NO se recomienda por razones de seguridad (por ejemplo, el servidor web tiene un error, se produce un flujo de búfer e imprime la clave privada al atacante).

En su lugar, solo coloque la clave privada en un archivo separado y declare en SSLCertificateKeyFile