Mật khẩu SSL khi khởi động lại apache2

33

Tôi thiết lập chứng chỉ SSL ký tự đại diện từ Godaddy trên Apache2. Bất cứ khi nào máy chủ khởi động lại, nó sẽ yêu cầu mật khẩu cho khóa riêng của chứng chỉ SSL.

Cách tốt nhất để loại bỏ trở ngại này để khởi động lại, bởi vì khi khởi động lại vòng quay logfile xảy ra vào giữa đêm, máy chủ không hoạt động trở lại và tôi nhận được một cuộc gọi máy khách không vui vào buổi sáng, vì đó là một máy chủ dùng chung .

apache-2.2  ssl 
ryw
nguồn
5
Trong khi câu hỏi thực tế đã được trả lời, hãy để tôi thêm: Xoay vòng logfile không yêu cầu khởi động lại. Việc tải lại sẽ ổn và sẽ không yêu cầu bạn xuất trình bất kỳ thông tin xác thực nào.
Jan Jungnickel
Cảm ơn Jan - điểm tốt - Tôi thực sự không chắc tại sao lát cắt lại khởi động - dường như xảy ra khoảng 1 tuần. Tôi cần tìm hiểu thêm để tìm hiểu lý do
ryw

Câu trả lời:

28

Để làm cho apache nhận được cụm mật khẩu mỗi khi nó khởi động lại, hãy thêm nó vào httpd.conf:

SSLPassPhraseDialog exec:/path/to/passphrase-file

trong tệp mật khẩu của bạn:

#!/bin/sh
echo "passphrase"

và làm cho tập tin mật khẩu thực thi:

chmod +x passphrase-file
nước lạnh
nguồn
1
làm việc cho tôi quá : D
markcial
5
Hãy nhớ đặt quyền phù hợp trên tập lệnh chứa cụm mật khẩu , nếu không, bạn đã xóa hiệu quả bất kỳ bảo mật nào có cụm mật khẩu đã cung cấp cho bạn. (Bạn cũng nên đặt quyền thích hợp trên khóa, như được mô tả trong câu trả lời của Max).
voretaq7
6
Làm thế nào để lưu trữ khóa (với cụm mật khẩu) với 600 quyền và tập lệnh này có 700 quyền an toàn hơn so với chỉ lưu trữ khóa mà không có cụm mật khẩu với 600 quyền cho rằng chủ sở hữu của cả hai tệp sẽ cần phải là người dùng root, phải không?
zelanix
5
Tôi đồng ý; đây là an ninh vô nghĩa. Do, bằng mọi cách, hãy xóa cụm mật khẩu khỏi khóa để khởi động lại tự động; nhưng đừng nghĩ rằng bạn có thể khắc phục được sự mất mát bảo mật mà bạn vừa thực hiện. Đó thường là một sự đánh đổi tốt, nhưng đó một sự đánh đổi.
MadHatter hỗ trợ Monica
Để hoàn thiện liên kết đến tài liệu Apache có liên quan: httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslpassphrasedialog
kiềm
29

Bạn cần xóa mã hóa khỏi tệp khóa riêng của mình như thế này:

openssl rsa -in server.key -out server.key.new

mv server.key.new server.key

Đảm bảo tệp khóa mới chỉ có thể đọc được bằng root - nếu không, bất kỳ ai có quyền truy cập shell vào máy chủ này đều có thể lấy khóa riêng và mạo danh máy chủ của bạn.

Để làm cho khóa chỉ có thể đọc được bằng root, hãy thực hiện 'chmod 600 server.key.new' trước khi hoán đổi các phím.

Alginin tối đa
nguồn
Tôi đã thử ý tưởng của bạn, vẫn nhận được thử thách trên sudo ./apache2 khởi động lại :(
ryw
4
+1 vì đó không phải là một "ý tưởng", đó là một quy trình thực tế
tôi đã sử dụng thuật ngữ "ý tưởng" bởi vì nó không hiệu quả với tôi.
ryw
2
Làm thế nào để cụm mật khẩu làm cho chứng chỉ ssl an toàn hơn nếu bạn có thể xóa nó dễ dàng mà không cần phải sử dụng cụm mật khẩu? (hoặc nó hỏi bạn cụm mật khẩu?)
user2693017
3
@ user2693017 - Lệnh openssl được mô tả ở đây sẽ yêu cầu cụm mật khẩu của khóa riêng được mã hóa. Nếu không biết mật khẩu, xóa nó sẽ không hoạt động.
Michael Paesold
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.