Возможный дубликат:
запретить apache запрашивать пароль SSL при каждом перезапуске
При создании сертификата SSL я использовал в ключе парольную фразу. Каждый раз, когда я перезагружаю свой веб-сервер (Apache или Nginx), они запрашивают пароль:
Apache:
Некоторые файлы ваших закрытых ключей зашифрованы по соображениям безопасности. Чтобы прочитать их, вы должны указать контрольные фразы.
Сервер www.example: 443 (RSA)
Введите парольную фразу:
Nginx:
Запуск nginx: введите парольную фразу PEM:
Ввод пароля каждый раз быстро меня раздражает, и я беспокоюсь о простоях при следующей перезагрузке машины.
Есть ли способ автоматически предоставить парольную фразу PEM при перезапуске веб-сервера? или мне нужно повторно выдать сертификат SSL с использованием ключа, из которого была удалена парольная фраза?
Если я удалю парольную фразу, каковы будут последствия для безопасности? Есть ли повод для беспокойства?
Отвечая на каждый вопрос по очереди:
1) Есть ли способ автоматически предоставить парольную фразу PEM при перезапуске веб-сервера?
Apache имеет SSLPassPhraseDialog для автоматического ответа на вопрос с парольной фразой SSL.
2) нужно ли мне перевыпускать сертификат SSL с использованием ключа, из которого удалена парольная фраза?
Пароль можно удалить из ключа без необходимости повторной выдачи сертификата. Ключ - это ваш секрет, и вы можете делать с ним все, что хотите, в том числе делать его незащищенным:
> cp server.key server.key.org
> openssl rsa -in server.key.org -out server.key
[enter the passphrase]
3) Если я удалю парольную фразу, каковы будут последствия для безопасности? Есть ли повод для беспокойства?
Да, если закрытый ключ больше не зашифрован, очень важно, чтобы этот файл мог читать только пользователь root. Если ваша система когда-либо будет скомпрометирована и третья сторона получит ваш незашифрованный закрытый ключ, соответствующий сертификат необходимо будет немедленно отозвать, иначе в результате атаки может появиться веб-сайт, выдавающий себя за ваш.