现在我安装了 ubuntu 12.04.3 服务器,我想通过 ssh 访问它。因此,我创建了一个私钥,并将其移至
/etc/ssl/private/
我只是想知道为什么那里已经有私钥了ssl-cert-snakeoil.key。这个私钥用在哪里?我可以删除它吗?
答案1
ssl-snakeoil.key 是由 ssl-cert 软件包安装后脚本创建的密钥。它是为 snakeoil 用户创建的,不应删除:
grep '#' /var/lib/dpkg/info/ssl-cert.postinst
#!/bin/sh -e
# Create the ssl-cert system group for snakeoil ownership:
# Check if the generated snakeoil key/cert has been generated
# from a vulnerable openssl version and replace it if necessary.
# check if the cert and key file exist,
# the issuer and subject are the same (self signed cert)
# and the private key is vulnerable
# no need to perform any check. If the certificates are there
# it will exit 0.
# allow group ssl-cert to access /etc/ssl/private
# If we're upgrading from an older version, fix the unreadable key:
现在,什么是 ssl-cert 包:
此软件包支持需要创建 SSL 证书的软件包的无人值守安装。
它是 OpenSSL 证书请求实用程序的一个简单包装器,可以为其提供正确的用户变量。
因此,它是用于安装需要创建 SSL 证书的包的证书,因此系统会在安装此包时动态生成一个证书。
顺便说一句,这个软件包并不是 Ubuntu 独有的,因为它也出现在 Debian 中。
答案2
它是在安装基于 Debian 的服务器操作系统(如 Ubuntu)时创建的服务器特定的公钥和私钥对。
它用于未安装或配置其他 SSL 证书但启用并需要加密通信的情况。
虽然它确实可以安全地加密流量,但它并不安全,因此被称为“蛇油”,因为它缺乏根权限签名,这意味着它很容易受到最简单的中间人攻击。
网站管理员确实需要使用来自其 CA 的正确签名的密钥(例如他们希望用于 HTTPS 的密钥)重新配置引用 snakeoil 密钥的服务。