可能重复:
阻止 apache 每次重启时询问 SSL 密码
当我创建 SSL 证书时,我在密钥中使用了密码。每当我重新启动 Web 服务器(Apache 或 Nginx)时,它们都会要求输入密码:
阿帕奇:
出于安全原因,您的部分私钥文件已加密。要读取这些文件,您必须提供密码。
服务器 www.example:443 (RSA)
输入密码:
Nginx的:
启动 nginx:输入 PEM 密码:
每次输入密码很快就会变得烦人,而且我担心下次重新启动机器时会导致停机。
有没有办法在 Web 服务器重新启动时自动提供 PEM 密码?或者我是否必须使用已删除密码的密钥重新颁发 SSL 证书?
如果我删除密码短语,安全隐患是什么?有什么可担心的吗?
答案1
答案2
依次回答每个问题:
1)有没有办法在 Web 服务器重新启动时自动提供 PEM 密码?
Apache 拥有SSLPassPhrase对话框自动回答 SSL 密码问题。
2)我是否必须使用已删除密码的密钥重新颁发 SSL 证书?
无需重新颁发证书,即可从密钥中删除密码。密钥是您的秘密,您可以用它做任何您想做的事情,包括使其不安全:
> cp server.key server.key.org
> openssl rsa -in server.key.org -out server.key
[enter the passphrase]
3) 如果我删除密码短语,会有什么安全隐患?有什么可担心的吗?
是的,如果私钥不再加密,则必须确保该文件仅由 root 用户读取。如果您的系统受到攻击,并且第三方获取了您的未加密私钥,则需要立即撤销相应的证书,否则攻击者可能会建立一个冒充您的网站。