Сертификат, созданный TinyCA, отклонен Exchange 2013
В первую очередь, если у владельца файла не должно быть доступа для записи, не давайте его им. Можно сделать это путем определения первого номера полномочий UNIX. Это означает, что только корень будет иметь доступ для записи к их файлам. Это будет очень раздражающим, когда они должны будут обновить файлы, но Вы сказали, что у них не должно быть доступа для записи....
Во-вторых, они выполняют свой сценарий как определенный пользователь. Если они будут заблокированы в файле с помощью open_basedir, то это не будет проблема, если они могут записать свои файлы. Если будет взлом, то он уничтожит только что файлы пользователя. Даже без open_basedir, они должны только смочь записать в их файлах, если у Вас нет файлов с 777 правами, который является другой проблемой.
В-третьих, многим веб-сайтам нужен доступ для записи к, по крайней мере, certains файлы/папки. На пример должен записать Wordpress в случае, если существует загрузка файла. Доступ для записи для веб-сайтов является не обязательно дырой в системе безопасности при управлении им хорошо.
suexec является очень хорошим началом, и open_basedir удостоверится, что Ваши пользователи с доступом для записи остаются в определенном каталоге.
Для всех, у кого есть эта проблема: TinyCA создает сертификаты без списков отзыва сертификатов. Хотя это нормально для большинства хостов Linux, Exchange (возможно, все современные хосты Windows) требует CRL. Итак, решение - больше не использовать TinyCA. Вместо этого попробуйте XCA (который, как я подтвердил, работает).
Можно настроить crlDistributionPoints в TinyCA2. Просто откройтесь, Ваше издание Приблизительно Выбирают Preferences / Конфигурация OpenSSL из меню.
Переходят к вкладке "Server Certificate Settings" и добавляют crlDistributionPoints.
Я не уверен, почему вы думаете, что у меня проблема с Windows. Похоже, у вас есть действующий сертификат без информации об отзыве. Убедитесь, что ваш CRL находится в сети и что CRL находится в сертификате.