Kann ich die Frage nach der PEM-Passphrase überspringen, wenn ich den Webserver neu starte?

28

Nach dem Kauf eines Multidomain-SSL-Zertifikats habe ich begonnen, es mit dem Nginx-Webserver zu testen (siehe Dokumentation auf der SSL-Wiki-Seite ).

Alles ist in Ordnung, es funktioniert und ich erhalte ein grünes Vorhängeschlosssymbol in der URL-Leiste, aber ... jedes Mal, wenn ich Nginx neu starte, wird mir die folgende Frage gestellt (einmal für jeden Server, z. B. fünfmal ):

Nginx starten: PEM-Passphrase eingeben:

Ist das normal und was viele andere Leute tun? oder kann ich es so konfigurieren, dass das Passwort gespeichert wird?

Dies ist insbesondere dann ein Problem, wenn der Computer neu gestartet wird, da der Webserver erst nach Eingabe der PEM-Passphrase gestartet wird (was bedeutet, dass auf der Website Ausfallzeiten auftreten, bis eine menschliche Interaktion stattfindet).

Tom
quelle
1
Sie werden wahrscheinlich auf serverfault.com
Tim Post

Antworten:

48

Wie vorgeschlagen, stellte ich die Frage zu ServerFault: https://serverfault.com/questions/161768/restart-webserver-ohne-Passworteingabe

Aber die kurze Antwort lautet:

Sichern Sie Ihren Schlüssel:

> cp server.key server.key.org

Entferne das Passwort:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

Die neu erstellte server.keyDatei enthält keine Passphrase mehr und der Webserver startet ohne Passwort .

Eine andere Option ist die Verwendung der Apaches- SSLPassPhraseDialogOption, um die Frage nach der SSL-Passphrase automatisch zu beantworten.

Haftungsausschluss: Wenn der private Schlüssel nicht mehr verschlüsselt ist, ist es wichtig, dass diese Datei nur vom Root-Benutzer gelesen werden kann! Wenn Ihr System jemals kompromittiert wird und ein Dritter Ihren unverschlüsselten privaten Schlüssel erhält, muss das entsprechende Zertifikat gesperrt werden.

Tom
quelle
1

Ja, das ist eine übliche Sache. Wenn die Passphrase auf der Festplatte gespeichert würde, könnte ein Angreifer das Zertifikat übernehmen.

Natürlich können Sie die Passphrase aus dem Zertifikat entfernen, aber das würde ich nicht empfehlen! Es gibt auch andere technische Lösungen mit externen Peripheriegeräten.

Peter Smit
quelle