パスワードを入力せずにウェブサーバーを再起動しますか?
SSL証明書を作成するときに、キーにパスフレーズを使用しました。 Webサーバー(ApacheまたはNginx)を再起動するたびに、パスワードを要求されます。
Apache:
セキュリティ上の理由から、一部の秘密鍵ファイルは暗号化されています。それらを読むためには、パスフレーズを提供する必要があります。
サーバーwww.example:443(RSA)
パスフレーズを入力してください:
Nginx:
Nginxの開始:PEMパスフレーズを入力してください:
毎回パスワードを入力するのは非常に煩わしく、次にマシンを再起動するときのダウンタイムが心配です。
Webサーバーの再起動時にPEMパスフレーズを自動的に提供する方法はありますか?または、パスフレーズが削除されたキーを使用してSSL証明書を再発行する必要がありますか?
パスフレーズを削除すると、セキュリティにどのような影響がありますか?気になることはありますか?
順番に各質問に答える:
1)Webサーバーの再起動時にPEMパスフレーズを自動的に提供する方法はありますか?
Apacheには SSLPassPhraseDialog があり、SSLパスフレーズの質問に自動的に回答します。
2)パスフレーズが削除されたキーを使用して、SSL証明書を再発行する必要がありますか?
パスフレーズは、証明書を再発行することなく、キーから削除できます。キーはあなたの秘密であり、あなたはそれを安全でないものにすることを含め、あなたがそれを使ってあなたが望む何でもすることができます:
> cp server.key server.key.org
> openssl rsa -in server.key.org -out server.key
[enter the passphrase]
3)パスフレーズを削除すると、セキュリティにどのような影響がありますか?気にすることはありますか?
はい、秘密鍵が暗号化されなくなった場合、このファイルはrootユーザーのみが読み取ることができることが重要です。システムが侵害され、第三者が暗号化されていない秘密鍵を入手した場合、対応する証明書をすぐに取り消す必要があります。