如何存储 OpenSSL 密钥答案

【问题标题】：How to store OpenSSL keys如何存储 OpenSSL 密钥
【发布时间】：2016-01-05 13:02:22
【问题描述】：

我的 Linux 系统中有一个私钥和一个公钥。存储私钥的最佳方式是什么？有合适的目录吗？我需要创建一个用户来拥有密钥吗？如何提高密钥保护？

【问题讨论】：

如果您告诉我们密钥的用途、使用它们的软件、部署密钥和启用对私钥的访问的操作流程，那么我们可能会做出明智的选择建议 - 但提供一个称职的答案将需要比此处适当的更多讨论 - 投票结束时过于广泛。
恕我直言，您的问题更适合Security.SE。
Stack Overflow 是一个编程和开发问题的网站。这个问题似乎离题了，因为它与编程或开发无关。请参阅帮助中心的What topics can I ask about here。也许Super User 或Information Security Stack Exchange 会是一个更好的提问地方。还有Where do I post questions about Dev Ops?.
这可能会帮助你：linux private key "best practice"

【解决方案1】：

如果您只是存储密钥（该主机上的任何应用程序都不需要它们），通常的做法是将它们存储在您的 HOME 目录中的某个位置（如果您是超级用户则奖励），将权限限制为 @987654322 @（或0400）。 如果将私钥存储为PKCS #12（加密格式），最好使用强密码。

注意：仅这些简单的做法并不能保证您的主机不会受到损害，攻击者可以在您解密和使用它们时检索您的证书/密钥。

【讨论】：

【解决方案2】：

存储私钥的最佳位置是智能卡或硬件安全模块。它可以被使用，但绝不会被那样偷走。

下一个最好的地方是使用访问控制。让它只有你自己拥有和读取，并且只有需要读取它的进程才能读取。

【讨论】：