सवाल प्रत्येक पुनरारंभ करने के लिए एसएसएल पासवर्ड पूछने से अपाचे रोकें [डुप्लिकेट]


इस प्रश्न का उत्तर यहां दिया गया है:

का उपयोग करते हुए इस साइट से निर्देश लेकिन उन्हें थोड़ा बदलकर मैंने सीए का उपयोग करके -एवाका का उपयोग किया, मैंने प्रतिलिपि बनाई cacert.pem मेरे COMP के लिए और आईई में भरोसेमंद जारीकर्ता के रूप में आयात किया। मैंने तब -न्यूरेक और साइन किया (नोट: मैं करता हूं /full/path/CA.sh -cmd और नहीं sh CA.sh -cmd) और apache के लिए प्रमाण और कुंजी ले जाया गया।

मैंने आईई में साइट का दौरा किया और .NET कोड का उपयोग किया और यह भरोसेमंद, महान दिखाई देता है (जब तक मैं www लिखता हूं, जिसके सामने अपेक्षित है)। लेकिन हर बार जब मैं अपाचे को पुनरारंभ करता हूं तो मुझे साइट (एस?) के लिए अपना पासवर्ड टाइप करना होगा।

मैं इसे कैसे बना सकता हूं इसलिए मुझे पासवर्ड टाइप करने की आवश्यकता नहीं है?


37
2017-07-15 15:09


मूल




जवाब:


आप एक कुंजी फ़ाइल से पासफ्रेज को हटाना चाहते हैं। इसे चलाओ:

openssl rsa -in key.pem -out newkey.pem

ध्यान रखें कि इसका मतलब यह है कि सर्वर पर भौतिक पहुंच वाले किसी भी व्यक्ति को कुंजी (और इस प्रकार दुरुपयोग) की प्रतिलिपि बना सकते हैं।


60
2017-07-15 15:15



वार्नर i <3 आप मेरे सभी सवालों का जवाब कैसे देते हैं और मुझे महान उत्तर देते हैं: डी। सबसे अच्छा
कोई भी सुझाव जो सुरक्षा में महत्वपूर्ण कमी का कारण बनता है उसे चेतावनी / चेतावनी के साथ आना चाहिए। संक्षेप में, इस उत्तर का अर्थ है कि जिनके पास मशीन तक भौतिक पहुंच है, वे आपके प्रमाणपत्र से समझौता कर सकते हैं। - Slartibartfast
आप निश्चित रूप से एक बिंदु slartibartfast है और मैं योग्यता पर असहमत नहीं है। हालांकि, मैं किसी भी अच्छी तरह से संचालित आईटी विभाग के बारे में नहीं सोच सकता, जहां अपाचे द्वारा उपयोग की जाने वाली कीपर्स के साथ निजी कुंजी पर पासफ्रेज छोड़ना स्वीकार्य है। - Warner
key.pem नहीं मिला है। मैं इस विधि का उपयोग करता हूं और यह काम कर रहा है। chrisschuld.com/2008/08/... - vee
यह अब काम नहीं करता है। openssl को पैराफ्रेज की आवश्यकता होती है जब तक कि इसे अक्षम करने का कोई विकल्प न हो - pcnate


मैं अतीत में अपनी मुख्य फाइलों से पासफ्रेज को हटाने का दोषी हूं, क्योंकि यह सबसे आसान समाधान है, लेकिन सुरक्षा के अनुसार, यह सबसे अच्छा विचार नहीं है। अपाचे में पासफ्रेज को खिलाने का एक विकल्प है। आप इसे साथ कर सकते हैं SSLPassPhraseDialog आपके विकल्प httpd.conf (या एक और फ़ाइल जिसमें यह शामिल है)।

यदि आपके पास केवल आपके सर्वर पर एक एसएसएल साइट है, तो इसका सबसे सरल रूप होगा:

# either of these will work
SSLPassPhraseDialog |/path/to/passphrase-script
SSLPassPhraseDialog exec:/path/to/passphrase-script

फिर आप एक बहुत ही सरल लिपि बनायेंगे /path/to/passphrase-script इसमें निम्न की तरह कुछ शामिल है:

#!/bin/sh
echo "put the passphrase here"

शुरू होने पर, अपाचे इस स्क्रिप्ट का आउटपुट लेगा और इसे आपके एसएसएल कुंजी के लिए पासफ्रेज के रूप में उपयोग करेगा। यदि आपके पास एकाधिक SSL साइटें हैं, SSLPassPhraseDialog इसमें अतिरिक्त तरीके हैं जिनका उपयोग किया जा सकता है, ताकि आप या तो अपनी सभी चाबियों के लिए एक स्क्रिप्ट, या प्रत्येक के लिए एक अलग स्क्रिप्ट हो या फिर भी आप इसे करना चाहते हैं।


22
2017-07-15 17:43



यह वास्तव में आपकी सुरक्षा के लिए कुछ भी नहीं करता है - जो भी टूटता है उसे अपाचे कॉन्फ़िगरेशन को पढ़ना पड़ता है, फिर उस स्क्रिप्ट को पढ़ना पड़ता है, और वे उतने अच्छे होते हैं जैसे आपने पहले स्थान पर पासफ्रेज छोड़ा था। - Greg Price
मैं नहीं जानता कि आप पासफ्रेज़ को क्यों नहीं हटाएंगे अगर आप इसे किसी भी तरह लिखा है। मैं किसी को तोड़ने के बारे में चिंतित नहीं हूं क्योंकि सभी अनुमतियां सही तरीके से सेट की गई हैं। या कम से कम ज्यादातर। अभी केवल एक ही जो मेरी फाइलों तक पहुंच सकता है वह मेरा होस्ट प्रदाता है (जो मैं बीसी के बारे में कुछ भी नहीं कर सकता, उनके पास हार्डवेयर है और रूट के रूप में तोड़ सकता है या भौतिक ड्राइव तक पहुंच सकता है) और मुझे रूट के रूप में।
तथा chmod +x /path/to/passphrase-script - Junior M
मुझे कॉन्फ़िगरेशन प्रबंधन उद्देश्यों के लिए बड़े वातावरण पर यह उपयोगी लगता है। आप स्टार्टअप पर पासफ्रेज के लिए स्वचालित रूप से लॉन्च करने के लिए स्वचालित रूप से लॉन्च नहीं करना चाहते हैं, खासकर जब 'क्लाउड में' चलते हैं। एक स्क्रिप्ट का उपयोग करके आप एन्क्रिप्टेड फाइलों को असुरक्षित चैनलों (अमेज़ॅन एस 3, यम रिपोज इत्यादि) पर संग्रहीत और वितरित कर सकते हैं। ।) जबकि पासफ्रेज को एन्क्रिप्टेड चैनल पर भेजा जाता है, जैसे कि पपेट या शेफ का उपयोग करते समय। - Cristian Măgherușan-Stanciu


पीईएम फ़ाइल से पासवर्ड को हटाने के लिए, आप निम्न कार्य कर सकते हैं। ध्यान दें कि दोनों आदेशों को उस स्थिति के लिए आवश्यक है जहां निजी कुंजी और सार्वजनिक प्रमाणपत्र एक ही फ़ाइल में हैं:

# you'll be prompted for your passphrase one last time
openssl rsa -in mycert.pem -out newcert.pem
openssl x509 -in mycert.pem >> newcert.pem

यह "newcert.pem" नामक एक फ़ाइल बनाएगा जो पासवर्ड के बिना पीईएम फ़ाइल है। जैसा कि अन्य उत्तरों में उल्लेख किया गया है, आपको यह विचार करना चाहिए कि ऐसा करने से पहले सुरक्षा दृष्टिकोण से यह एक अच्छा विचार है या नहीं।

snagged यहां से


3
2018-06-13 12:13