51 votes

empêcher apache de demander le mot de passe SSL à chaque redémarrage

Utilisation instructions de ce site mais en les modifiant un peu, j'ai créé une AC en utilisant -newca, j'ai copié cacert.pem sur mon ordinateur et importé en tant qu'émetteur de confiance dans IE. J'ai ensuite fait -newreq et -sign (note : je fais -newreq et -sign (note : je fais -newreq et -sign). /full/path/CA.sh -cmd et non sh CA.sh -cmd ) et a déplacé le cert et la clé vers apache.

J'ai visité le site dans IE et en utilisant le code .NET et il apparaît comme fiable, très bien (sauf si j'écris www. devant, ce qui est attendu). Mais à chaque fois que je redémarre Apache, je dois taper mon mot de passe pour le(s) site(s).

Comment puis-je faire en sorte que je n'aie pas besoin de saisir le mot de passe ?

80voto

Warner Points 23292

Vous souhaitez supprimer la phrase d'authentification d'un fichier clé. Exécutez ceci :

openssl rsa -in key.pem -out newkey.pem

Il faut savoir que cela signifie que toute personne ayant un accès physique au serveur peut copier (et donc abuser) de la clé.

28voto

James Sneeringer Points 6645

Je me suis rendu coupable de supprimer la phrase de passe de mes propres fichiers clés par le passé, parce que c'est la solution la plus simple, mais du point de vue de la sécurité, ce n'est pas la meilleure idée. Une alternative consiste à fournir la phrase de passe à Apache. Vous pouvez le faire avec l'option SSLPassPhraseDialog dans votre httpd.conf (ou un autre fichier qu'il inclut).

Si vous n'avez qu'un seul site SSL sur votre serveur, la forme la plus simple est la suivante :

# either of these will work
SSLPassPhraseDialog |/path/to/passphrase-script
SSLPassPhraseDialog exec:/path/to/passphrase-script

Vous devez ensuite créer un script très simple appelé /path/to/passphrase-script qui contient quelque chose comme ce qui suit :

#!/bin/sh
echo "put the passphrase here"

Au démarrage, Apache prendra la sortie de ce script et l'utilisera comme phrase de passe pour votre clé SSL. Si vous avez plusieurs sites SSL, SSLPassPhraseDialog peut être utilisé de différentes manières, de sorte que vous pouvez avoir un seul script pour toutes vos clés, ou un script séparé pour chacune d'entre elles, ou tout autre moyen que vous souhaitez utiliser.

4voto

Brad Parks Points 664

Pour supprimer le mot de passe d'un fichier PEM, vous pouvez procéder comme suit. Notez que les deux commandes sont nécessaires dans le cas où la clé privée et le certificat public se trouvent dans le même fichier :

# you'll be prompted for your passphrase one last time
openssl rsa -in mycert.pem -out newcert.pem
openssl x509 -in mycert.pem >> newcert.pem

Cela créera un fichier appelé "newcert.pem" qui est un fichier PEM sans mot de passe. Comme indiqué dans d'autres réponses, vous devez vous demander si c'est une bonne idée du point de vue de la sécurité avant de procéder à cette opération.

Pris en flagrant délit à partir d'ici

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X