Могу ли я пропустить вопрос с фразой вопроса PEM при перезапуске веб-сервера?

После покупки сертификата с несколькими доменами SSL я начал тестировать его с помощью веб-сервера Nginx (следуя документации на странице SSL-вики) ).

Все в порядке, оно работает, и я получаю зеленый символ замка в строке URL, но ... каждый раз, когда я перезапускаю Nginx, мне задают следующий вопрос (один раз для каждого сервера, например 5 раз ):

  

Запуск nginx: введите фразу для передачи PEM:

Это нормально и что делают многие другие люди? или я могу настроить его, чтобы пароль был запомнен?

В частности, это проблема, когда машина перезагружается, потому что веб-сервер не запускается до тех пор, пока не будет введена паровая фраза PEM (это означает, что веб-сайт имеет время простоя, пока не появится какое-то взаимодействие с человеком).

27 голосов | спросил Tom 19 J000000Monday10 2010, 14:19:58

2 ответа


46

Как и было предложено, я задал вопрос о ServerFault: https://serverfault.com /вопросы /161768 /рестарт-вебсервер-без ввода-а-пароль

Но короткий ответ:

Сделайте резервную копию своего ключа:

  & GT; cp server.key server.key.org
 

Измените пароль:

  & GT; openssl rsa -in server.key.org -out server.key

[ввести кодовую фразу]
 

Вновь созданный файл server.key больше не содержит паролей в нем, а веб-серверы запускаются без необходимости использования пароля .

Другим вариантом является использование опции Apache SSLPassPhraseDialog для автоматического ответа на вопрос о фразе SSL-запроса.

Отказ от ответственности: Если закрытый ключ больше не зашифрован, крайне важно, чтобы этот файл был доступен только пользователю root! Если ваша система когда-либо скомпрометирована, а третья сторона получает ваш незашифрованный закрытый ключ, соответствующий сертификат нужно будет отозвать.

ответил Tom 19 J000000Monday10 2010, 17:01:44
1

Да, это обычная вещь. Если фраза прохода будет сохранена на диске, злоумышленник может принять сертификат.

Конечно, вы могли удалить пропущенную фразу из сертификата, но я бы не рекомендовал этого! Также существуют другие технические решения с внешними периферийными устройствами.

ответил Peter Smit 19 J000000Monday10 2010, 15:48:24

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132