Могу ли я пропустить вопрос пароля PEM при перезапуске веб-сервера?


28

После покупки многодоменного SSL-сертификата я начал тестировать его с веб-сервером Nginx (см. Документацию на их вики-странице SSL ).

Все хорошо, все работает, и я получаю зеленый символ замка в строке URL, но ... каждый раз, когда я перезагружаю Nginx, мне задают следующий вопрос (один раз для каждого сервера, например, 5 раз ):

Начиная nginx: введите пароль PEM:

Это нормально и что делают многие другие? или я могу настроить его так, чтобы пароль запомнился?

В частности, это проблема, когда машина перезагружается, потому что веб-сервер не запустится, пока не будет введена пароль PEM (это означает, что у веб-сайта есть время простоя, пока не произойдет какое-либо взаимодействие с человеком).


1
Вы, вероятно, получите гораздо лучшие ответы на этот вопрос на serverfault.com
Tim Post

Ответы:


48

Как и предполагалось, я задал вопрос по ServerFault: /server/161768/restart-webserver-without-entering-a-password

Но короткий ответ:

Сделайте резервную копию вашего ключа:

> cp server.key server.key.org

Раздень пароль:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

В новом server.keyфайле больше нет парольной фразы, и веб-серверы запускаются без пароля .

Другой вариант - использовать SSLPassPhraseDialogопцию Apache для автоматического ответа на вопрос о парольной фразе SSL.

Отказ от ответственности: если закрытый ключ больше не зашифрован, очень важно, чтобы этот файл был доступен для чтения только пользователю root! Если ваша система будет взломана и третья сторона получит ваш незашифрованный закрытый ключ, соответствующий сертификат необходимо будет отозвать.


1

Да, это обычное дело. Если пароль хранится на диске, злоумышленник может получить сертификат.

Конечно, вы можете удалить парольную фразу из сертификата, но я бы не советовал! Также существуют другие технические решения с внешней периферией.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.