我的设置包含 2 台服务器 - 一台用于邮件主机,另一台用于网络主机。由于 webhost 有 SSL 证书,我也需要这些证书到邮件主机服务器(同一域)。
有没有一种方法可以使用 rsync 或任何其他方式将证书文件从本地 webhost 服务器安全地复制到本地 mailhost 服务器?通过这样做,可以保证 key 的安全,并且可以让鸽舍使用。
我已经尝试在两端为 rsync 赋予 sudo 权限(sudoers 文件也被修改但仍然说“不存在 tty 并且没有指定 askpass 程序”),也使用 ssh key 但仍然没有成功。
我必须做什么?
最佳答案
首先,您通常不应为 Web 和邮件服务器使用相同的证书。基本设置是 Web 服务器应该有一个 www.whatever.com 的证书,whatever.com 作为备用名称(或者可能相反),邮件服务器将有一个类似 mail.whatever.com 的证书,或者它的主机名是什么。请注意,邮件服务器的证书应该用于其主机名,而不是它所服务的域。有一个邮件服务器甚至不在与其服务的域相同的顶级域下是完全正常的——如果 DNS 中有一条 MX 记录表明 whatever.com 的邮件应该转到 someserver.isp。 net,那是完全正常的,邮件服务器需要 someserver.isp.net 的证书,不是 whatever.com。
其次,听起来您正试图过度自动化。如果您确实需要在多台计算机上使用相同的证书,您通常应该在服务器之间手动复制它(例如在非特权帐户之间使用 scp),然后在每台服务器上手动安装它。另一方面,如果您使用像 letsencrypt 这样的自动证书生成系统的,您最好在每台服务器上生成独立的证书。
允许自动权限升级存在重大安全风险,例如允许 rsync 通过 sudo 以 root 身份运行。除非您非常小心,否则任何有权访问该系统的人都可以利用这一点,例如只需使用 rsync 即可修改他们想要的任何文件(包括/etc/sudoers)!类似地,允许一台服务器以 root 身份远程访问另一台服务器意味着任何可以接管一台服务器的人都会自动获得对另一台服务器的完全控制。这很危险!除非你真的需要,否则不要这样做,在那种情况下,你需要真正真正地理解你在做什么。
关于ubuntu - 如何通过rsync将SSL证书复制到另一台服务器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40697669/