SSL证书密钥不是附件，而是整个加密系统的熵源

【导读】：私钥泄露即等价于网站主权移交。新网安全响应中心2024上半年通告显示，因私钥意外泄漏造成的客户安全事故占比达67%，其中82%源于Git历史提交、容器镜像残留或SaaS日志截图。在此指代一套覆盖密钥生成、分发、轮换、销毁全生命周期的硬件级管控体系。
【本质重勘：密钥对是TLS协议存在的数学前提】

公钥与私钥并非“一对文件”，而是同一随机素数种子衍生出的两个互补数学对象：

公钥 = (n,e)，用于RSA加密或EC point multiplication，可无限分发；
私钥 = (n,d) 或 EC scalar k，用于解密或signature generation，必须保持信息论意义上的秘密性。

RFC 8446（TLS 1.3）明确规定：若私钥被敌手获知，则所有过往/未来session traffic均可被完全解密（forward secrecy失效）。这意味着：一次私钥泄漏，等于永久丧失对该域名的历史通信保密权。
【六道防线：企业级密钥安全管理黄金标准】

参照NIST SP 800-57 Part 1 Rev. 5与银保监办发〔2023〕12号文，新网交付方案强制实施以下控制项：

✅ 生成环境隔离：私钥必须在HSM（Hardware Security Module）内部生成，禁止导出明文；
✅ 传输通道加密：使用KMIP over TLS 1.3双向认证隧道分发至WAF/Nginx节点；
✅ 存储介质锁定：Linux系统上设置chmod 600 && chown root:root && chattr +i三重防护；
✅ 访问权限最小化：Nginx worker process以unprivileged user:nogroup运行，通过setcap cap_ipc_lock+ep /usr/sbin/nginx授予权限；
✅ 轮换策略自动化：每月调用ssh-keygen -t ed25519 -f new.key -q -N ""生成新密钥对，旧密钥进入crypto-shredding队列；
✅ 销毁审计留痕：每一次rm -rf old.key操作均记录syslog timestamp + operator ID + SSH source IP。

以上全部能力已集成进新网SSL管理中心密钥管家模块，即默认启用该军工级治理模型。