it-swarm.com.de

Kann ich die Frage nach der PEM-Passphrase überspringen, wenn ich den Webserver neu starte?

Nach dem Kauf eines Multidomain-SSL-Zertifikats habe ich begonnen, es mit dem Nginx-Webserver zu testen (siehe Dokumentation in deren SSL-Wiki-Seite ).

Alles ist in Ordnung, es funktioniert und ich erhalte ein grünes Vorhängeschlosssymbol in der URL-Leiste, aber ... jedes Mal, wenn ich Nginx neu starte, wird mir die folgende Frage gestellt (einmal für jeden Server, z. B. 5 Mal ):

Nginx starten: PEM-Passphrase eingeben:

Ist das normal und was viele andere Leute tun? oder kann ich es so konfigurieren, dass das Passwort gespeichert wird?

Dies ist insbesondere dann ein Problem, wenn der Computer neu gestartet wird, da der Webserver erst nach Eingabe der PEM-Passphrase gestartet wird (dh die Website hat Ausfallzeiten, bis eine menschliche Interaktion stattfindet).

28
Tom

Wie vorgeschlagen, stellte ich die Frage zu ServerFault: https://serverfault.com/questions/161768/restart-webserver-without-entering-a-password

Aber die kurze Antwort lautet:

Sichern Sie Ihren Schlüssel:

> cp server.key server.key.org

Entferne das Passwort:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

Die neu erstellte server.key -Datei enthält keine Passphrase mehr, und die Webserver starten ohne Kennwort .

Eine andere Option ist die Verwendung der Option Apaches SSLPassPhraseDialog, um die Frage nach der SSL-Passphrase automatisch zu beantworten.

Haftungsausschluss: Wenn der private Schlüssel nicht mehr verschlüsselt ist, ist es wichtig, dass diese Datei nur vom Root-Benutzer gelesen werden kann! Wenn Ihr System jemals kompromittiert wird und ein Dritter Ihren unverschlüsselten privaten Schlüssel erhält, muss das entsprechende Zertifikat gesperrt werden.

48
Tom

Ja, das ist eine übliche Sache. Wenn die Passphrase auf der Festplatte gespeichert würde, könnte ein Angreifer das Zertifikat übernehmen.

Natürlich können Sie die Passphrase aus dem Zertifikat entfernen, aber das würde ich nicht empfehlen! Es gibt auch andere technische Lösungen mit externen Peripheriegeräten.

1
Peter Smit