Czy mogę pominąć pytanie o frazę PEM po ponownym uruchomieniu serwera?

28

Po zakupie certyfikatu SSL z wieloma domenami zacząłem testować go na serwerze Nginx (zgodnie z dokumentacją na stronie wiki SSL ).

Wszystko jest w porządku, działa i na pasku adresu URL pojawia się zielony symbol kłódki, ale ... za każdym razem, gdy ponownie uruchamiam Nginx, pojawia się następujące pytanie (raz dla każdego serwera, np. 5 razy ):

Począwszy od nginx: wprowadź frazę PEM:

Czy to normalne i co robi wiele innych osób? lub czy mogę go skonfigurować, aby hasło zostało zapamiętane?

W szczególności jest to problem przy ponownym uruchomieniu komputera, ponieważ serwer WWW nie uruchomi się, dopóki nie zostanie wprowadzone hasło PEM (co oznacza, że ​​witryna ma przestoje, dopóki nie nastąpi interakcja człowieka).

Tomek
źródło
1
Prawdopodobnie otrzymasz na to znacznie lepsze odpowiedzi na serverfault.com
Tim Post

Odpowiedzi:

48

Zgodnie z sugestią zadałem pytanie na ServerFault: https://serverfault.com/questions/161768/restart-webserver-without-entering-a-password

Ale krótka odpowiedź brzmi:

Utwórz kopię zapasową klucza:

> cp server.key server.key.org

Usuń hasło:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

Nowo utworzony server.keyplik nie zawiera już hasła, a serwery WWW uruchamiają się bez potrzeby podawania hasła .

Inną opcją jest użycie SSLPassPhraseDialogopcji Apache , aby automatycznie odpowiedzieć na pytanie hasła SSL.

Oświadczenie: Jeśli klucz prywatny nie jest już szyfrowany, bardzo ważne jest, aby ten plik był czytelny tylko dla użytkownika root! Jeśli system zostanie kiedykolwiek naruszony, a strona trzecia otrzyma nieszyfrowany klucz prywatny, odpowiedni certyfikat będzie musiał zostać odwołany.

Tomek
źródło
1

Tak, to jest powszechne. Jeśli hasło zostanie zapisane na dysku, osoba atakująca może przejąć certyfikat.

Oczywiście możesz usunąć hasło z certyfikatu, ale nie poleciłbym tego! Istnieją również inne rozwiązania techniczne z zewnętrznymi urządzeniami peryferyjnymi.

Peter Smit
źródło