Jaki jest cel -nodes
argumentu w openssl?
Jaki jest cel -nodes
argumentu w openssl?
Odpowiedzi:
Opcją -nodes
nie jest angielskie słowo „węzły”, ale raczej „brak DES”. Podany jako argument oznacza, że OpenSSL nie zaszyfruje klucza prywatnego w pliku PKCS # 12 .
Aby zaszyfrować klucz prywatny, możesz pominąć, -nodes
a Twój klucz zostanie zaszyfrowany za pomocą 3DES-CBC. Aby zaszyfrować klucz, OpenSSL prosi o podanie hasła i używa tego hasła do wygenerowania klucza szyfrowania za pomocą funkcji wyprowadzania klucza EVP_BytesToKey .
W zależności od wersji OpenSSL i skompilowanych opcji, Ty może być w stanie dostarczyć te opcje w miejscu -nodes
:
-des encrypt private keys with DES
-des3 encrypt private keys with triple DES (default)
-idea encrypt private keys with idea
-seed encrypt private keys with seed
-aes128, -aes192, -aes256
encrypt PEM output with cbc aes
-camellia128, -camellia192, -camellia256
encrypt PEM output with cbc camellia
Ostatecznie na poziomie biblioteki OpenSSL wywołuje funkcję PEM_write_bio_PrivateKey z wybranym algorytmem szyfrowania (lub jego brakiem).
edit: nginx v1.7.3 dodał dyrektywę ssl_password_file, która odczytuje hasła z określonego pliku, próbując każdego hasła z klucza zaszyfrowanego-private.key kontekstu
indy ma rację, że -nodes
argument oznacza, że OpenSSL utworzy niezaszyfrowany klucz private.key ; w przeciwnym razie pojawi się monit o hasło, aby utworzyć zaszyfrowany-prywatny.key . patrz req , pkcs12 , CA.pl
czuję jednak, że celem (dla programistów) jest:
ssl_password_file file.keys;
w kontekście http { }
lub server { }
. [ ref ]-nodes
do tworzenia private.key bez szyfrowaniaprzydatne: zablokuj private.key
sudo chown root:ssl-cert private.key
- ch ange własne er private.key do głównego użytkownika, ssl-cert grupiesudo chmod 640 private.key
- zmień uprawnienia dostępu private.key na właściciela R / W, grupa ROpcja A
silniejsze zabezpieczenia, ale po ponownym uruchomieniu serwera, trzeba ręcznie wpisać hasło dla encrypted-private.key
Opcja B.
średnie bezpieczeństwo i prawdopodobnie dobra równowaga między klimatyzacją
Opcja C
słabsze zabezpieczenia, ale NIE monituje o niezaszyfrowane hasło private.key