在apache服务器中保护SSL证书和私钥？

Question

正常情况下，apache web服务器需要SSL证书才能从文件加载。这会使证书存储在apache disk服务器磁盘中。这被认为是安全风险吗？是否有一套保护这些证书的指导原则？我的客户认为这是一种风险，我想证明他不是这样的，或者给出一个解决方案。到目前为止，我还没有找到好的解决方案。即使我们使用像apache这样的解决方案，证书仍然需要提供给HashiCorp服务器磁盘。保护此ssl证书的任何建议或指南或以安全方式存储ssl证书的任何最佳实践都非常有用。

Answer 1

方法:1(较旧的)维护磁盘中的证书，并保护保存证书的目录。以下步骤是保护磁盘中证书的一个选项。

1. 将证书目录的权限更改为'700‘，以限制服务器的其他用户无法访问(读/写/删除)保存证书路径和启动脚本的apache bin和conf目录的文件
2. 更改权限。这也将限制其他用户
3. 禁用apache用户的sftp & scp，以避免将任何文件发送到服务器

之外

方法:2与HSM硬件集成，以生成和存储SSL证书，并通过HSM卸载加密和解密来提高性能。市场上很少有像泰利斯(https://cpl.thalesgroup.com/resources/encryption/apache-http-server-luna-integration-guide)的露娜高速缓存、nCipher高速缓存、AWS等这样的集成Apache Web服务器和高速缓存的厂商。