web-dev-qa-db-fra.com

Puis-je ignorer la question de la phrase secrète PEM lorsque je redémarre le serveur Web?

Après avoir acheté un certificat SSL multi-domaine, j'ai commencé à le tester avec le serveur Web Nginx (documentation suivante dans leur page wiki SSL ).

Tout va bien, cela fonctionne et un symbole de cadenas vert apparaît dans la barre d'adresse mais ... chaque fois que je redémarre Nginx, on me pose la question suivante (une fois pour chaque serveur, par exemple 5 fois ):

nginx de départ: entrez la phrase secrète PEM:

Est-ce normal et ce que font beaucoup d'autres personnes? ou puis-je le configurer pour que le mot de passe soit mémorisé?

En particulier, c'est un problème lorsque la machine est redémarrée, car le serveur Web ne démarre pas tant que la phrase secrète PEM n'est pas entrée (ce qui signifie que le site Web a un temps mort jusqu'à ce qu'il y ait une interaction humaine).

28
Tom

Comme suggéré, j'ai posé la question sur ServerFault: https://serverfault.com/questions/161768/restart-webserver-without-entering-a-password

Mais la réponse courte est:

Sauvegardez votre clé:

> cp server.key server.key.org

Supprimer le mot de passe:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

Le fichier server.key nouvellement créé ne contient plus de phrase secrète et les serveurs Web démarrent sans mot de passe .

Une autre option consiste à utiliser Apaches SSLPassPhraseDialog pour répondre automatiquement à la question de la phrase secrète SSL.

Disclaimer: Si la clé privée n'est plus chiffrée, il est essentiel que ce fichier ne soit lisible que par l'utilisateur root! Si votre système est compromis et qu'un tiers obtient votre clé privée non chiffrée, le certificat correspondant devra être révoqué.

48
Tom

Oui, c'est une chose commune à faire. Si la phrase de passe était stockée sur le disque, un attaquant pourrait prendre en charge le certificat.

Bien sûr, vous pouvez supprimer la phrase de passe du certificat, mais je ne le recommanderais pas! Il existe également d'autres solutions techniques avec des périphériques externes.

1
Peter Smit