it-swarm-id.com

Dapatkah saya melewatkan pertanyaan frase lulus PEM ketika saya me-restart server web?

Setelah membeli sertifikat SSL multi-domain saya sudah mulai mengujinya dengan server web Nginx (mengikuti dokumentasi di halaman wiki SSL ).

Semuanya baik-baik saja, ia berfungsi dan saya mendapatkan simbol gembok hijau di bilah URL tapi ... setiap kali saya memulai ulang Nginx saya ditanya pertanyaan berikut (satu kali untuk setiap server, misalnya 5 kali ):

Mulai nginx: Masukkan frase pass PEM:

Apakah ini normal dan apa yang dilakukan banyak orang? atau bisakah saya mengkonfigurasinya sehingga kata sandi diingat?

Secara khusus, ini adalah masalah ketika mesin dinyalakan ulang karena server web tidak akan mulai sampai frasa PEM lolos dimasukkan (artinya situs web memiliki waktu henti hingga ada interaksi manusia).

28
Tom

Seperti yang disarankan, saya mengajukan pertanyaan pada ServerFault: https://serverfault.com/questions/161768/restart-webserver-without-entering-a-password

Tetapi jawaban singkatnya adalah:

Cadangkan kunci Anda:

> cp server.key server.key.org

Hapus kata sandi:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

File server.key yang baru dibuat tidak memiliki kata sandi lagi di dalamnya dan webservers mulai tanpa perlu kata sandi .

Opsi lain adalah dengan menggunakan opsi Apaches SSLPassPhraseDialog untuk secara otomatis menjawab pertanyaan frase pass SSL.

Penafian: Jika kunci pribadi tidak lagi dienkripsi, sangat penting bahwa file ini hanya dapat dibaca oleh pengguna root! Jika sistem Anda pernah dikompromikan dan pihak ketiga mendapatkan kunci pribadi Anda yang tidak dienkripsi, sertifikat yang bersangkutan perlu dicabut.

48
Tom

Ya, ini adalah hal yang biasa dilakukan. Jika frasa sandi akan disimpan dalam disk, penyerang dapat mengambil alih sertifikat.

Tentu saja Anda dapat menghapus frasa sandi dari sertifikat, tetapi saya tidak akan merekomendasikan itu! Juga ada solusi teknis lainnya dengan periferal eksternal.

1
Peter Smit