18、高级安全：证书部署与入侵检测全解析

高级安全：证书部署与入侵检测全解析

1. 证书部署

当你拥有了一个证书，并希望用它来保障网络服务的安全时，首先要做的是将密钥和证书文件复制到运行该服务的服务器上。即便这台服务器就是你创建证书签名请求（CSR）时所用的服务器，也需要把文件复制到一个新的目录，因为文件的权限会有所不同。

CentOS 系统自带了一个 /etc/pki/tls/private 目录，大多数服务都可以使用这个目录。为了增强安全性，你应该收紧该目录的权限。以 root 用户身份执行以下命令：

chmod 0700 /etc/pki/tls/private

你可能会觉得分别复制证书和密钥文件很麻烦，其实可以将它们合并成一个 PEM 格式的文件。你既可以使用文本编辑器来创建 PEM 文件，也可以通过命令行轻松完成，示例如下：

cp www.example.com.key www.example.com.pem
echo "" >> www.example.com.pem
cat www.example.com.crt >> www.example.com.pem
echo "" >> www.example.com.pem

这里的 echo "" 命令是为文件添加一个空行。在 PEM 文件的各个组件之间保留一个空行，是为了让某些服务能够正确解析多个组件。

接下来，将 PEM 文件复制到 <