it-swarm.it

Posso saltare la domanda con la passphrase PEM quando riavvio il server web?

Dopo aver acquistato un certificato SSL multi-dominio, ho iniziato a testarlo con il server web Nginx (seguendo la documentazione nella loro pagina wiki SSL ).

Va tutto bene, funziona e nella barra dell'URL compare un simbolo di lucchetto verde ma ... ogni volta che riavvio Nginx mi viene posta la seguente domanda (una volta per ogni server, ad es. 5 volte ):

Avvio di nginx: inserire la passphrase PEM:

È normale e cosa fanno molte altre persone? o posso configurarlo per ricordare la password?

In particolare, questo è un problema quando il computer viene riavviato perché il server web non si avvierà finché non viene inserita la passphrase PEM (il che significa che il sito Web ha tempi di inattività fino a quando non si verifica un'interazione umana).

28
Tom

Come suggerito, ho posto la domanda su ServerFault: https://serverfault.com/questions/161768/restart-webserver-without-entering-a-password

Ma la risposta breve è:

Fai il backup della tua chiave:

> cp server.key server.key.org

Rimuovi la password:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

Il file server.key appena creato non contiene più passphrase e i server web si avviano senza la necessità di una password .

Un'altra opzione è quella di utilizzare l'opzione Apaches SSLPassPhraseDialog per rispondere automaticamente alla domanda della passphrase SSL.

Disclaimer: Se la chiave privata non è più crittografata, è fondamentale che questo file sia leggibile solo dall'utente root! Se il sistema viene mai compromesso e una terza parte ottiene la chiave privata non crittografata, il certificato corrispondente dovrà essere revocato.

48
Tom

Sì, questa è una cosa comune da fare. Se la passphrase verrà archiviata sul disco, un utente malintenzionato potrebbe assumere il certificato.

Ovviamente potresti rimuovere la passphrase dal certificato, ma non lo consiglierei! Esistono anche altre soluzioni tecniche con periferiche esterne.

1
Peter Smit