Dapatkah saya melewatkan pertanyaan frase lulus PEM ketika saya me-restart server web?


28

Setelah membeli sertifikat SSL multi-domain saya sudah mulai mengujinya dengan server web Nginx (dokumentasi berikut di halaman wiki SSL mereka ).

Semuanya baik-baik saja, ini berfungsi dan saya mendapatkan simbol gembok hijau di bilah URL tapi ... setiap kali saya memulai ulang Nginx saya ditanya pertanyaan berikut (satu kali untuk setiap server, misalnya 5 kali ):

Mulai nginx: Masukkan frasa PEM PEM lulus:

Apakah ini normal dan apa yang dilakukan banyak orang? atau bisakah saya mengkonfigurasinya sehingga kata sandi diingat?

Secara khusus, ini adalah masalah ketika mesin dinyalakan ulang karena server web tidak akan mulai sampai frasa PEM lulus dimasukkan (artinya situs web memiliki downtime sampai ada beberapa interaksi manusia).


1
Anda mungkin akan mendapatkan jawaban yang lebih baik untuk ini di serverfault.com
Tim Post

Jawaban:


48

Seperti yang disarankan, saya mengajukan pertanyaan pada ServerFault: /server/161768/restart-webserver-without-entering-a-password

Tetapi jawaban singkatnya adalah:

Cadangkan kunci Anda:

> cp server.key server.key.org

Hapus kata sandi:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

File yang baru dibuat server.keytidak memiliki kata sandi lagi di dalamnya dan webservers memulai tanpa perlu kata sandi .

Opsi lain adalah menggunakan SSLPassPhraseDialogopsi Apache untuk secara otomatis menjawab pertanyaan frase pass SSL.

Penafian: Jika kunci pribadi tidak lagi dienkripsi, sangat penting bahwa file ini hanya dapat dibaca oleh pengguna root! Jika sistem Anda pernah dikompromikan dan pihak ketiga mendapatkan kunci pribadi Anda yang tidak dienkripsi, sertifikat yang bersangkutan perlu dicabut.


1

Ya, ini adalah hal yang biasa dilakukan. Jika frasa sandi akan disimpan dalam disk, penyerang dapat mengambil alih sertifikat.

Tentu saja Anda dapat menghapus frasa sandi dari sertifikat, tetapi saya tidak akan merekomendasikan itu! Juga ada solusi teknis lainnya dengan periferal eksternal.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.