it-swarm-eu.dev

Mohu při restartování webového serveru přeskočit otázku PEM pass fráze?

Po zakoupení vícedoménového SSL certifikátu jsem ho začal testovat pomocí webového serveru Nginx (následující dokumentace na jejich wiki stránka SSL ).

Všechno je v pořádku, funguje to a v adresním řádku mám zelený symbol zámku, ale ... pokaždé, když restartuji Nginx, dostanu následující otázku (jednou za každý server, např. 5krát ):

Počáteční nginx: Zadejte přístupovou frázi PEM:

Je to normální a co mnoho dalších lidí dělá? nebo jej mohu nakonfigurovat tak, aby si pamatovalo heslo?

Jedná se zejména o problém, kdy je počítač restartován, protože webový server se nespustí, dokud není zadána věta PEM pass (což znamená, že web má prostoje, dokud nedojde k nějaké lidské interakci).

28
Tom

Jak jsem navrhl, položil jsem otázku na ServerFault: https://serverfault.com/questions/161768/restart-webserver-without-entering-a-password

Ale krátká odpověď zní:

Zálohujte svůj klíč:

> cp server.key server.key.org

Vyjměte heslo:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

Nově vytvořený soubor server.key neobsahuje žádné další přístupové fráze a webové servery začínají bez potřeby hesla .

Další možností je použít možnost Apaches SSLPassPhraseDialog k automatické odpovědi na otázku SSL pass frázi.

Zřeknutí se odpovědnosti: Pokud soukromý klíč již není šifrován, je důležité, aby tento soubor mohl číst pouze uživatel root! Pokud je váš systém někdy ohrožen a třetí strana získá váš nezašifrovaný soukromý klíč, bude nutné příslušný certifikát zrušit.

48
Tom

Ano, je to běžná věc. Pokud by byla přístupová fráze uložena na disk, útočník by mohl certifikát převzít.

Samozřejmě byste z certifikátu mohli odebrat přístupovou frázi, ale nedoporučoval bych to! Existují také jiná technická řešení s externími periferiemi.

1
Peter Smit