it-swarm.cn

我可以在重新启动网络服务器时跳过PEM密码短语问题吗?

购买了多域SSL证书后,我开始使用Nginx网络服务器对其进行测试(以下文档为 SSL wiki页面 )。

一切都很好,它的工作原理,我在URL栏中得到一个绿色的挂锁符号,但是...每次重新启动Nginx时,我都会被问到以下问题(每个服务器一次,例如5次):

开始nginx:输入PEM密码短语:

这是正常的,还有很多其他人在做什么?或者我可以配置它以便记住密码?

特别是,当机器重新启动时,这是一个问题,因为在输入PEM密码短语之前,网络服务器才会启动(这意味着网站有停机时间,直到有人工交互)。

28
Tom

正如所建议的,我在ServerFault上提出了问题: https://serverfault.com/questions/161768/restart-webserver-without-entering-a-password

但简短的回答是:

备份你的钥匙:

> cp server.key server.key.org

删除密码:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

新创建的server.key文件中没有更多密码,并且webservers在不需要密码的情况下启动

另一种选择是使用Apaches SSLPassPhraseDialog选项自动回答SSL密码短语问题。

免责声明:如果私钥不再加密,那么root用户只能读取此文件至关重要!如果您的系统遭到入侵并且第三方获得了未加密的私钥,则需要撤销相应的证书。

48
Tom

是的,这是常见的事情。如果密码短语存储在磁盘上,则攻击者可以接管证书。

当然,您可以从证书中删除密码短语,但我不建议这样做!外部外围设备也存在其他技术解决方案。

1
Peter Smit