Tôi có thể bỏ qua câu hỏi cụm từ PEM khi tôi khởi động lại máy chủ web không?


28

Sau khi mua chứng chỉ SSL đa miền, tôi đã bắt đầu thử nghiệm nó với máy chủ web Nginx (tài liệu sau trong trang wiki SSL của họ ).

Mọi thứ đều ổn, nó hoạt động và tôi nhận được biểu tượng ổ khóa màu xanh lục trong thanh URL nhưng ... mỗi lần tôi khởi động lại Nginx tôi lại nhận được câu hỏi sau (một lần cho mỗi máy chủ, ví dụ 5 lần ):

Bắt đầu nginx: Nhập cụm từ PEM:

Đây có phải là bình thường và những gì nhiều người khác làm? hoặc tôi có thể cấu hình nó để mật khẩu được ghi nhớ?

Đặc biệt, đây là sự cố khi máy được khởi động lại do máy chủ web sẽ không khởi động cho đến khi nhập cụm từ PEM (có nghĩa là trang web có thời gian chết cho đến khi có một số tương tác của con người).


1
Bạn có thể sẽ nhận được câu trả lời tốt hơn cho vấn đề này trên serverfault.com
Tim Post

Câu trả lời:


48

Theo đề xuất, tôi đã đặt câu hỏi trên ServerFault: https://serverfault.com/questions/161768/restart-webserver-without-entering-a-password

Nhưng câu trả lời ngắn gọn là:

Sao lưu chìa khóa của bạn:

> cp server.key server.key.org

Tách mật khẩu:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

Tệp mới được tạo server.keykhông có thêm cụm mật khẩu trong đó và máy chủ web bắt đầu mà không cần mật khẩu .

Một tùy chọn khác là sử dụng SSLPassPhraseDialogtùy chọn Apaches để tự động trả lời câu hỏi cụm từ SSL.

Tuyên bố miễn trừ trách nhiệm: Nếu khóa riêng không còn được mã hóa nữa, điều quan trọng là người dùng root chỉ có thể đọc được tệp này! Nếu hệ thống của bạn đã từng bị xâm phạm và bên thứ ba có được khóa riêng không được mã hóa của bạn, chứng chỉ tương ứng sẽ cần phải bị thu hồi.


1

Vâng, đây là một điều phổ biến để làm. Nếu cụm mật khẩu sẽ được lưu trên đĩa, kẻ tấn công có thể chiếm lấy chứng chỉ.

Dĩ nhiên bạn có thể xóa cụm từ vượt qua khỏi chứng chỉ, nhưng tôi không khuyến nghị điều đó! Ngoài ra các giải pháp kỹ thuật khác tồn tại với các thiết bị ngoại vi bên ngoài.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.