使用用户进程读取SSL Certs

Question

我正在运行自己的服务器，在服务器上有不同的服务(Nginx等)。所有这些(internet)服务都/应该使用SSL (offcialy签名)进行安全保护。

密钥文件/证书位于目录/etc/ssl中。Nginx (因为它有根权限)可以读取这些文件/目录，但是其他服务(在用户空间中运行，比如IRCD)不能读取。

如何确保密钥和证书的安全，同时允许这些进程读取(而不是写入)它们？

Answer 1

我不认为您希望用户能够访问服务器私钥。当然，访问公钥并不重要。

我认为您的其他服务应该在非特权但仍非用户帐户下运行。然后，您可以更改root:adm或其他更合适的密钥的所有权，并将服务帐户添加到同一个组中。公钥可以是世界可读的。