Apache2 yeniden başlatıldığında SSL şifresi


33

Apache2'de Godaddy'den joker SSL sertifikası kurdum. Sunucu yeniden başlatıldığında, SSL sertifikasının özel anahtarının şifresini ister.

Yeniden başlatmaya yönelik bu engeli kaldırmanın en iyi yolu nedir, çünkü logfile döndürme yeniden başlatması gecenin ortasında gerçekleştiğinde, sunucu geri gelmez ve sabahları paylaşılan bir sunucu olduğu için mutsuz bir müşteri çağrısı alıyorum .


5
Asıl soru cevaplanmış olsa da ekleyeyim: Günlük dosyası döndürme işlemi yeniden başlatmayı gerektirmez. Bir yeniden yükleme işlemi iyi olacak ve herhangi bir kimlik bilgisi ibraz etmenizi gerektirmeyecektir.
Jan Jungnickel,

Teşekkür Ocak - iyi bir nokta - Aslında emin dilim yeniden başlatılıyor neden değilim - neden anlamaya daha kazmak gerekir 1x hafta gerçekleşmesi gibi görünüyor
ryw

Yanıtlar:


28

Apache'nin her yeniden başlatıldığında parolayı almasını sağlamak için bunu httpd.conf dosyasına ekleyin:

SSLPassPhraseDialog exec:/path/to/passphrase-file

parola dosyanızda:

#!/bin/sh
echo "passphrase"

ve parola dosyasını yürütülebilir duruma getirin:

chmod +x passphrase-file

1
benim için çalıştı! : D
markcial

5
Parolayı içeren komut dosyasında uygun izinleri ayarlamayı unutmayın , aksi halde parolanın size verdiği tüm güvenliği etkili bir şekilde kaldırmış olursunuz. (Ayrıca, Max'in cevabında açıklandığı gibi, anahtar için uygun izinler ayarlamanız gerekir).
voretaq7

6
Anahtarın (parola ile) 600 izinle saklanması ve bu komut dosyası, 700 izin içeren anahtarın, her iki dosyanın sahibinin de kök kullanıcı olması gerekliliği göz önüne alındığında, 600 izin içeren anahtarın parola olmadan depolanmasından daha güvenlidir.
zelanix,

5
Katılıyorum; bu anlamsız güvenlik. Elbette, otomatik yeniden başlatmalar için bir anahtardan bir parola kaldırın; Ancak, yaptığınız güvenlik kaybını hiçbir şekilde geri çekebileceğinizi düşünmeyin. Genellikle iyi bir ticaret-off, ama olan bir değiş tokuş.
MadHatter, 8


29

Şifreyi aşağıdaki gibi özel anahtar dosyanızdan kaldırmanız gerekir:

openssl rsa -in server.key -out server.key.new

mv server.key.new server.key

Yeni anahtar dosyasının yalnızca root tarafından okunabildiğinden emin olun - aksi takdirde bu sunucuya kabuk erişimi olan herkes özel anahtarı alabilir ve sunucunuzu taklit edebilir.

Anahtarın sadece root tarafından okunabilmesi için, anahtarları değiştirmeden önce 'chmod 600 server.key.new' komutunu kullanın.


ben senin fikrin çalıştı, hala sudo ./apache2 yeniden başlatma :( üzerinde meydan olsun
ryw

4
+1 çünkü bu bir "fikir" değil, gerçek bir prosedür
codehead

"fikir" terimini kullandım, çünkü benim için işe yaramadı.
ryw

2
parolayı gerek kalmadan daha kolay silebiliyorsanız parola nasıl bir ssl sertifikasını daha güvenli hale getirir? (ya sizden parola soruyor mu?)
user2693017

3
@ user2693017 - Burada açıklanan openssl komutu şifreli özel anahtarın şifresini isteyecektir. Şifreyi bilmeden, kaldırma çalışmaz.
Michael Paesold
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.