it-swarm-vi.com

Tôi có thể bỏ qua câu hỏi cụm từ PEM khi tôi khởi động lại máy chủ web không?

Sau khi mua chứng chỉ SSL đa miền, tôi đã bắt đầu thử nghiệm nó với máy chủ web Nginx (tài liệu sau trong trang wiki wiki ).

Mọi thứ đều ổn, nó hoạt động và tôi nhận được biểu tượng ổ khóa màu xanh lục trong thanh URL nhưng ... mỗi lần tôi khởi động lại Nginx, tôi nhận được câu hỏi sau (một lần cho mỗi máy chủ, ví dụ: 5 lần ):

Bắt đầu nginx: Nhập cụm từ PEM pass:

Đây có phải là bình thường và những gì nhiều người khác làm? hoặc tôi có thể cấu hình nó để mật khẩu được ghi nhớ?

Đặc biệt, đây là sự cố khi máy được khởi động lại vì máy chủ web sẽ không khởi động cho đến khi nhập cụm từ PEM (có nghĩa là trang web có thời gian chết cho đến khi có một số tương tác của con người).

28
Tom

Theo đề xuất, tôi đã đặt câu hỏi trên ServerFault: https://serverfault.com/questions/161768/restart-webserver-without-entering-a-password

Nhưng câu trả lời ngắn gọn là:

Sao lưu chìa khóa của bạn:

> cp server.key server.key.org

Tách mật khẩu:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

Tệp server.key mới được tạo không có thêm cụm mật khẩu trong đó và trình duyệt web bắt đầu mà không cần mật khẩu .

Một tùy chọn khác là sử dụng tùy chọn Apaches SSLPassPhraseDialog để tự động trả lời câu hỏi cụm từ vượt qua SSL.

Tuyên bố miễn trừ trách nhiệm: Nếu khóa riêng không còn được mã hóa, điều quan trọng là người dùng root chỉ có thể đọc được tệp này! Nếu hệ thống của bạn đã từng bị xâm phạm và bên thứ ba có được khóa riêng không được mã hóa của bạn, chứng chỉ tương ứng sẽ cần phải bị thu hồi.

48
Tom

Vâng, đây là một điều phổ biến để làm. Nếu cụm mật khẩu sẽ được lưu trên đĩa, kẻ tấn công có thể chiếm lấy chứng chỉ.

Dĩ nhiên bạn có thể xóa cụm mật khẩu khỏi chứng chỉ, nhưng tôi không khuyến nghị điều đó! Ngoài ra các giải pháp kỹ thuật khác tồn tại với các thiết bị ngoại vi bên ngoài.

1
Peter Smit