it-swarm-es.com

¿Puedo omitir la pregunta de frase de contraseña PEM cuando reinicio el servidor web?

Después de comprar un certificado SSL multidominio, comencé a probarlo con el servidor web Nginx (siguiendo la documentación en su página wiki SSL ).

Todo está bien, funciona y aparece un símbolo de candado verde en la barra de URL, pero ... cada vez que reinicio Nginx me hacen la siguiente pregunta (una vez para cada servidor, por ejemplo 5 veces ):

Iniciando nginx: Ingrese la frase de paso PEM:

¿Es esto normal y lo que hacen muchas otras personas? o puedo configurarlo para que se recuerde la contraseña?

En particular, este es un problema cuando la máquina se reinicia porque el servidor web no se iniciará hasta que se ingrese la frase de paso PEM (lo que significa que el sitio web tiene tiempo de inactividad hasta que haya alguna interacción humana).

28
Tom

Como sugerí, hice la pregunta sobre ServerFault: https://serverfault.com/questions/161768/restart-webserver-without-entering-a-password

Pero la respuesta corta es:

Copia de seguridad de su clave:

> cp server.key server.key.org

Elimina la contraseña:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

El archivo server.key recién creado no tiene más frase de contraseña y los servidores web comienzan sin necesidad de una contraseña .

Otra opción es usar la opción Apaches SSLPassPhraseDialog para responder automáticamente la pregunta de frase de paso SSL.

Descargo de responsabilidad: Si la clave privada ya no está encriptada, ¡es crítico que este archivo solo sea legible por el usuario root! Si su sistema alguna vez se ve comprometido y un tercero obtiene su clave privada sin cifrar, se deberá revocar el certificado correspondiente.

48
Tom

Sí, esto es algo común. Si la frase de contraseña se almacenara en el disco, un atacante podría hacerse cargo del certificado.

Por supuesto, podría eliminar la frase de contraseña del certificado, ¡pero no lo recomendaría! También existen otras soluciones técnicas con periféricos externos.

1
Peter Smit