¿Puedo omitir la pregunta de frase de contraseña PEM cuando reinicio el servidor web?


28

Después de comprar un certificado SSL multidominio, comencé a probarlo con el servidor web Nginx (siguiendo la documentación en su página wiki SSL ).

Todo está bien, funciona y aparece un símbolo de candado verde en la barra de URL, pero ... cada vez que reinicio Nginx me hacen la siguiente pregunta (una vez para cada servidor, por ejemplo, 5 veces ):

Inicio de nginx: ingrese la frase de paso PEM:

¿Es esto normal y lo que hacen muchas otras personas? o puedo configurarlo para que se recuerde la contraseña?

En particular, este es un problema cuando se reinicia la máquina porque el servidor web no se iniciará hasta que se ingrese la frase de paso PEM (lo que significa que el sitio web tiene tiempo de inactividad hasta que haya alguna interacción humana).


1
Probablemente obtendrá respuestas mucho mejores para esto en serverfault.com
Tim Post

Respuestas:


48

Como sugerí, hice la pregunta sobre ServerFault: https://serverfault.com/questions/161768/restart-webserver-without-entering-a-password

Pero la respuesta corta es:

Copia de seguridad de su clave:

> cp server.key server.key.org

Elimina la contraseña:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

El server.keyarchivo recién creado no tiene más frase de contraseña y los servidores web se inician sin necesidad de una contraseña .

Otra opción es usar la SSLPassPhraseDialogopción Apaches para responder automáticamente la pregunta de frase de paso SSL.

Descargo de responsabilidad: si la clave privada ya no está encriptada, es fundamental que este archivo solo sea legible por el usuario root. Si su sistema alguna vez se ve comprometido y un tercero obtiene su clave privada sin cifrar, se deberá revocar el certificado correspondiente.


1

Sí, esto es algo común. Si la frase de contraseña se almacenara en el disco, un atacante podría hacerse cargo del certificado.

Por supuesto, podría eliminar la frase de contraseña del certificado, ¡pero no lo recomendaría! También existen otras soluciones técnicas con periféricos externos.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.