Apache2 재시작시 SSL 비밀번호

Apache2에서 Godaddy의 와일드 카드 SSL 인증서를 설정했습니다. 서버가 다시 시작될 때마다 SSL 인증서의 개인 키에 대한 암호를 묻습니다.

한밤중에 로그 파일 회전 다시 시작이 발생하면 서버가 다시 시작되지 않고 아침에 공유 서버이므로 불행한 클라이언트 호출이 발생하기 때문에 다시 시작하기 위해이 장애물을 제거하는 가장 좋은 방법은 무엇입니까? .

apache-2.2 ssl

— 라이
소스

실제 질문에 대한 답변이 있지만 로그 파일 회전을 다시 시작할 필요가 없습니다. 새로 고침해도 문제가 없으며 자격 증명을 제시하지 않아도됩니다.

— Jan Jungnickel

고마워요 Jan-좋은 지적-슬라이스가 다시 시작되는 이유를 잘 모르겠습니다. 1 주일 정도 일어납니다. 이유를 알아 내기 위해 더 많은 것을 파헤쳐 야합니다.

— ryw

답변:

아파치가 다시 시작될 때마다 암호를 받도록하려면 httpd.conf에 다음을 추가하십시오.

SSLPassPhraseDialog exec:/path/to/passphrase-file

비밀번호 문구 파일에서 :

#!/bin/sh
echo "passphrase"

암호 문구 파일을 실행 가능하게 만드십시오.

chmod +x passphrase-file

— 시원한 물
소스

나도 일했다! : D

— markcial

비밀번호 문구가 포함 된 스크립트에 대해 적절한 권한을 설정해야합니다 . 그렇지 않으면 비밀번호 문구 가 제공 한 보안이 효과적으로 제거됩니다. 또한 Max의 답변에 설명 된대로 키에 대한 적절한 권한을 설정해야합니다.

— voretaq7

600 개의 권한으로 키 (암호를 사용하여)를 저장하고 700 개의 권한을 가진이 스크립트를 사용하면 두 파일의 소유자가 루트 사용자 여야한다고 가정 할 때 600 개의 권한을 가진 암호없이 키를 저장하는 것보다 더 안전합니까?

— zelanix

동의한다; 이것은 무의미한 보안입니다. 자동 재시작을 위해 키에서 암호를 제거하십시오. 그러나 방금 만든 보안 손실을 막을 수 있다고 생각하지 마십시오. 그것은 종종 좋은 절충, 그러나 그것은 이다 트레이드 오프.

— MadHatter는 Monica를

완전성을 위해 관련 Apache 문서에 대한 링크 : httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslpassphrasedialog

— alk

다음과 같이 개인 키 파일에서 암호화를 제거해야합니다.

openssl rsa -in server.key -out server.key.new

mv server.key.new server.key

새 키 파일은 루트 만 읽을 수 있어야합니다. 그렇지 않으면이 서버에 대한 셸 액세스 권한이있는 사람은 누구나 개인 키를 잡고 서버를 가장 할 수 있습니다.

루트로만 키를 읽을 수있게하려면 키를 교체하기 전에 'chmod 600 server.key.new'를 수행하십시오.

— 맥스 알기닌
소스

나는 당신의 아이디어를 시도했지만 여전히 sudo ./apache2 restart에 도전합니다 :(

— ryw

+1 이것이 "아이디어"가 아니기 때문에 실제 절차입니다

— codehead

나는 "idea"라는 용어를 사용하지 않았다.

— ryw

암호를 요구하지 않고 SSL 인증서를 쉽게 제거 할 수 있다면 암호는 어떻게 보안을 강화합니까? (또는 암호를 요구합니까?)

— user2693017

@ user2693017-여기에 설명 된 openssl 명령은 암호화 된 개인 키의 암호를 묻습니다. 암호를 모르면 암호를 제거해도 작동하지 않습니다.

— Michael Paesold