备份策略
-
配置文件备份
- 复制
/etc/ssl/openssl.cnf及相关配置文件(如/etc/ssl/openssl.cnf.d/下的文件)到安全路径,可使用cp或tar命令打包。 - 示例:
sudo tar -czvf openssl_config.tar.gz /etc/ssl/openssl.cnf*。
- 复制
-
证书与密钥备份
- 备份证书:
sudo tar -czvf certs_backup.tar.gz /etc/ssl/certs/*。 - 备份私钥:
sudo tar -czvf private_backup.tar.gz /etc/ssl/private/*,确保私钥权限为600。 - 若使用CA证书,备份
/etc/ssl/certs/ca-certificates.crt。
- 备份证书:
-
自动化备份
- 编写脚本(如
backup_openssl.sh)整合备份命令,通过cron定时执行(如每日凌晨2点)。
- 编写脚本(如
恢复策略
-
配置文件恢复
- 将备份的配置文件复制回原路径:
sudo cp /path/to/backup/openssl.cnf /etc/ssl/。
- 将备份的配置文件复制回原路径:
-
证书与密钥恢复
- 恢复证书:
sudo cp /path/to/backup/certs/*.crt /etc/ssl/certs/。 - 恢复密钥:
sudo cp /path/to/backup/private/*.key /etc/ssl/private/,并验证权限正确。
- 恢复证书:
-
验证恢复
- 重启服务(如 Apache/Nginx):
sudo systemctl restart apache2。 - 测试 OpenSSL 功能(如生成证书):
openssl req -x509 -newkey rsa:4096 -keyout test.key -out test.crt -days 365。
- 重启服务(如 Apache/Nginx):
注意事项
- 权限管理:确保备份文件存储于安全路径,私钥文件权限设为
600,仅允许root访问。 - 加密存储:敏感数据(如私钥)可加密后备份,恢复时解密。
- 定期验证:定期检查备份文件的完整性和可读性,避免过期备份失效。
参考来源: