apache2の再起動時のSSLパスワード

33

Apache2でGodaddyからのワイルドカードSSL証明書をセットアップします。サーバーが再起動するたびに、SSL証明書の秘密キーのパスフレーズを要求します。

再起動に対するこの障害を取り除く最良の方法は何ですか?ログファイルのローテーションの再起動が深夜に発生すると、サーバーが復帰せず、共有サーバーであるため、午前中に不幸なクライアント呼び出しが発生するためです。

apache-2.2  ssl 
ryw
ソース
5
実際の質問には答えましたが、追加してみましょう。ログファイルのローテーションには再起動は必要ありません。リロードは問題なく、資格情報を提示する必要はありません。
ヤンジュンニッケル2009年
おかげで月-良い点-私は実際に確認してくださいなぜスライスが再起動されていないよ- 1X週間程度起こるようです私はなぜ把握するより掘るする必要があります
RYW

回答:

28

Apacheが再起動するたびにパスフレーズを受け取るようにするには、これをhttpd.confに追加します。

SSLPassPhraseDialog exec:/path/to/passphrase-file

パスフレーズファイルで:

#!/bin/sh
echo "passphrase"

そして、パスフレーズファイルを実行可能にします:

chmod +x passphrase-file
冷たい水
ソース
1
私のためにも働いた!:D
マークシャル
5
パスフレーズを含むスクリプトに適切な権限を設定することを忘れないでください。そうしないと、パスフレーズが与えたセキュリティを効果的に削除できます。(Maxの答えで説明されているように、キーに適切なアクセス許可も設定する必要があります)。
voretaq7
6
両方のファイルの所有者がrootユーザーである必要があるため、600のアクセス許可を持つキー(700のアクセス許可を持つこのスクリプト)を600のアクセス許可を持つパスフレーズなしで単に保存するよりも安全です。
ゼラニクス
5
同意する; これは無意味なセキュリティです。自動再起動のために、必ずキーからパスフレーズを削除してください。ただし、今行ったばかりのセキュリティ損失を何らかの方法で引き戻すことができるとは思わないでください。多くの場合、これは良いトレードオフですが、トレードオフです。
MadHatterは、モニカをサポートします
関連するApacheドキュメントへのリンクを完全にするために、httpd.apache.org
alk
29

次のように、秘密鍵ファイルから暗号化を削除する必要があります。

openssl rsa -in server.key -out server.key.new

mv server.key.new server.key

新しいキーファイルがルートでのみ読み取り可能であることを確認してください。そうしないと、このサーバーにシェルアクセスできるユーザーはだれでも秘密キーを取得してサーバーになりすますことができます。

キーをルートでのみ読み取り可能にするには、キーを交換する前に「chmod 600 server.key.new」を実行します。

マックスアルギニン
ソース
私はあなたのアイデアを試しましたが、まだsudo ./apache2 restartでチャレンジを受けています:(
ryw
4
それは「アイデア」ではありません+1ので、それは実際の手順だ
codehead
「アイデア」という用語を使用しました。
RYW
2
パスフレーズを要求せずに簡単に削除できる場合、パスフレーズはどのようにSSL証明書をより安全にしますか?(またはパスフレーズを尋ねますか?)
user2693017 14年
3
@ user2693017-ここで説明するopensslコマンドは、暗号化された秘密キーのパスフレーズを要求します。パスワードを知らないと、削除できません。
マイケルペーソルド16
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.