Posso ignorar a pergunta da frase secreta do PEM ao reiniciar o servidor da web?

28

Depois de comprar um certificado SSL de vários domínios, comecei a testá-lo com o servidor da Web Nginx (seguindo a documentação em sua página wiki do SSL ).

Está tudo bem, funciona e recebo um símbolo de cadeado verde na barra de URL, mas ... toda vez que reinicio o Nginx, faço a seguinte pergunta (uma vez para cada servidor, por exemplo, 5 vezes ):

Iniciando nginx: insira a senha do PEM:

Isso é normal e o que muitas outras pessoas fazem? ou posso configurá-lo para que a senha seja lembrada?

Em particular, esse é um problema quando a máquina é reinicializada porque o servidor da Web não inicia até que a senha do PEM seja inserida (o que significa que o site fica inativo até que ocorra alguma interação humana).

Tom
fonte
1
Você provavelmente obterá respostas muito melhores para isso em serverfault.com
Tim Post

Respostas:

48

Como sugerido, fiz a pergunta no ServerFault: https://serverfault.com/questions/161768/restart-webserver-without-entering-a-password

Mas a resposta curta é:

Faça backup da sua chave:

> cp server.key server.key.org

Retire a senha:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

O server.keyarquivo recém-criado não possui mais senha e os servidores da Web são iniciados sem a necessidade de uma senha .

Outra opção é usar a SSLPassPhraseDialogopção Apaches para responder automaticamente à pergunta da frase secreta SSL.

Isenção de responsabilidade: se a chave privada não estiver mais criptografada, é essencial que esse arquivo seja legível apenas pelo usuário root! Se seu sistema for comprometido e terceiros obtiverem sua chave privada não criptografada, o certificado correspondente precisará ser revogado.

Tom
fonte
1

Sim, isso é comum. Se a frase secreta fosse armazenada em disco, um invasor poderia assumir o certificado.

Claro que você pode remover a frase secreta do certificado, mas eu não recomendaria isso! Também existem outras soluções técnicas com periféricos externos.

Peter Smit
fonte