Hasło SSL przy ponownym uruchomieniu apache2

Zainstalowałem wieloznaczny certyfikat SSL od Godaddy na Apache2. Za każdym razem, gdy serwer uruchamia się ponownie, prosi o podanie hasła prywatnego klucza certyfikatu SSL.

Jaki jest najlepszy sposób na usunięcie tej przeszkody w ponownym uruchomieniu, ponieważ gdy restart rotacji pliku dziennika następuje w środku nocy, serwer nie wraca i rano otrzymuję nieszczęśliwe wezwanie klienta, ponieważ jest to serwer współdzielony .

apache-2.2 ssl

— ryw
źródło

Chociaż odpowiedź na pytanie jest aktualna, dodaję: Rotacja pliku dziennika nie wymaga ponownego uruchomienia. Przeładowanie będzie w porządku i nie będzie wymagać przedstawienia poświadczeń.

— Jan Jungnickel,

Dzięki Jan - dobra uwaga - właściwie nie jestem pewien, dlaczego wycinek jest ponownie uruchamiany - wydaje się, że dzieje się to około 1 tygodnia. Muszę się

— pogłębić,

Odpowiedzi:

Aby apache otrzymywał hasło przy każdym ponownym uruchomieniu, dodaj to do httpd.conf:

SSLPassPhraseDialog exec:/path/to/passphrase-file

w pliku passphrase:

#!/bin/sh
echo "passphrase"

i uczyń plik-hasłem wykonywalnym:

chmod +x passphrase-file

— chłodna woda
źródło

też dla mnie pracował! : D

— markcial

Pamiętaj, aby ustawić odpowiednie uprawnienia dla skryptu zawierającego hasło , w przeciwnym razie skutecznie usunąłeś wszelkie zabezpieczenia, które dał ci hasło. (Powinieneś także ustawić odpowiednie uprawnienia do klucza, jak opisano w odpowiedzi Maxa).

— voretaq7

W jaki sposób przechowywanie klucza (z hasłem) z uprawnieniami 600 i ten skrypt z uprawnieniami 700 jest bezpieczniejszy niż przechowywanie klucza bez hasła z uprawnieniami 600, biorąc pod uwagę, że właścicielem obu plików musi być użytkownik root, prawda?

— zelanix

Zgadzam się; to bezcelowe bezpieczeństwo. Z całą pewnością usuwaj hasło z klucza, aby zautomatyzować ponowne uruchomienie; ale nie sądzę, że możesz w jakikolwiek sposób przywrócić utraconą ochronę. Często jest to dobry kompromis, ale jest to kompromis.

— MadHatter obsługuje Monikę

Dla kompletności link do powiązanej dokumentacji Apache: httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslpassphrasedialog

— alk

Musisz usunąć szyfrowanie z pliku klucza prywatnego w następujący sposób:

openssl rsa -in server.key -out server.key.new

mv server.key.new server.key

Upewnij się, że nowy plik klucza jest czytelny tylko dla użytkownika root - w przeciwnym razie każdy, kto ma dostęp do powłoki na tym serwerze, będzie mógł pobrać klucz prywatny i podszyć się pod serwer.

Aby klucz był czytelny tylko przez root, przed zamianą kluczy wykonaj „chmod 600 server.key.new”.

— Max Alginin
źródło

wypróbowałem twój pomysł, wciąż dostaję wyzwanie na sudo ./apache2 restart :(

— ryw

+1, ponieważ to nie jest „pomysł”, to faktyczna procedura

— kodhead

użyłem terminu „pomysł”, ponieważ to nie działało dla mnie.

— ryw

w jaki sposób hasło sprawia, że certyfikat ssl jest bezpieczniejszy, jeśli można go tak łatwo usunąć bez wymagania hasła? (czy prosi o

— podanie

@ user2693017 - Opisane tutaj polecenie openssl poprosi o hasło zaszyfrowanego klucza prywatnego. Bez znajomości hasła usunięcie go nie będzie działać.

— Michael Paesold