ti-enxame.com

Posso ignorar a pergunta da frase secreta do PEM ao reiniciar o servidor da web?

Depois de comprar um certificado SSL de vários domínios, comecei a testá-lo com o servidor da Web Nginx (documentação a seguir em página wiki SSL ).

Está tudo bem, funciona e recebo um símbolo de cadeado verde na barra de URL, mas ... toda vez que reinicio o Nginx, recebo a seguinte pergunta (uma vez para cada servidor, por exemplo: 5 vezes):

Iniciando nginx: digite a senha do PEM:

Isso é normal e o que muitas outras pessoas fazem? ou posso configurá-lo para que a senha seja lembrada?

Em particular, esse é um problema quando a máquina é reinicializada porque o servidor da web não inicia até que a senha do PEM seja inserida (o que significa que o site fica inativo até que haja alguma interação humana).

28
Tom

Como sugerido, fiz a pergunta no ServerFault: https://serverfault.com/questions/161768/restart-webserver-without-entering-a-password

Mas a resposta curta é:

Faça backup da sua chave:

> cp server.key server.key.org

Retire a senha:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

O arquivo server.key recém-criado não possui mais senha e os servidores da Web são iniciados sem a necessidade de uma senha .

Outra opção é usar a opção Apaches SSLPassPhraseDialog para responder automaticamente à pergunta da frase secreta SSL.

Isenção de responsabilidade: Se a chave privada não estiver mais criptografada, é essencial que esse arquivo seja legível apenas pelo usuário root! Se seu sistema for comprometido e terceiros obtiverem sua chave privada não criptografada, o certificado correspondente precisará ser revogado.

48
Tom

Sim, isso é comum. Se a frase secreta fosse armazenada em disco, um invasor poderia assumir o certificado.

Claro que você pode remover a frase secreta do certificado, mas eu não recomendaria isso! Também existem outras soluções técnicas com periféricos externos.

1
Peter Smit