Puis-je ignorer la question de phrase de passe PEM lorsque je redémarre le serveur Web?

28

Après avoir acheté un certificat SSL multi-domaine, j'ai commencé à le tester avec le serveur Web Nginx (documentation suivante sur leur page wiki SSL ).

Tout va bien, cela fonctionne et j'obtiens un symbole de cadenas vert dans la barre d'URL mais ... chaque fois que je redémarre Nginx, on me pose la question suivante (une fois pour chaque serveur, par exemple 5 fois ):

Démarrage de nginx: entrez la phrase de passe PEM:

Est-ce normal et ce que font beaucoup d'autres personnes? ou puis-je le configurer pour que le mot de passe soit mémorisé?

En particulier, il s'agit d'un problème lorsque la machine est redémarrée car le serveur Web ne démarre pas tant que la phrase de passe PEM n'est pas entrée (ce qui signifie que le site Web a un temps d'arrêt jusqu'à ce qu'il y ait une interaction humaine).

À M
la source
1
Vous obtiendrez probablement de bien meilleures réponses à ce sujet sur serverfault.com
Tim Post

Réponses:

48

Comme suggéré, j'ai posé la question sur ServerFault: /server/161768/restart-webserver-without-entering-a-password

Mais la réponse courte est:

Sauvegardez votre clé:

> cp server.key server.key.org

Supprimez le mot de passe:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

Le server.keyfichier nouvellement créé ne contient plus de phrase secrète et les serveurs Web démarrent sans avoir besoin d'un mot de passe .

Une autre option consiste à utiliser l' SSLPassPhraseDialogoption Apaches pour répondre automatiquement à la question de phrase secrète SSL.

Avertissement: Si la clé privée n'est plus chiffrée, il est essentiel que ce fichier ne soit lisible que par l'utilisateur root! Si votre système est déjà compromis et qu'un tiers obtient votre clé privée non chiffrée, le certificat correspondant devra être révoqué.

À M
la source
1

Oui, c'est une chose courante à faire. Si la phrase de passe devait être stockée sur le disque, un attaquant pourrait prendre le contrôle du certificat.

Bien sûr, vous pouvez supprimer la phrase de passe du certificat, mais je ne le recommanderais pas! Il existe également d'autres solutions techniques avec des périphériques externes.

Peter Smit
la source