Apache Pass Phrase Dialog

von

Some of your private key files are encrypted for security reasons.
In order to read them you have to provide the pass phrases.

In Zeiten wo man sich an jedes Stück Sicherheit klammert wirft manch einer auch mal bei den Zertifikaten für den Apache mal ein Passwort rein.

Gut so.

Doch wer das einfach so gemacht hat wird bald ein böses Erwachen haben wenn er den Apache neu started. Der will jetzt vor dem starten das Passwort für das Zertifikat haben.

Gut so.

Aber wenn wir den Server neu starten (gewollte oder nicht) und der Server nicht bei uns im Haus steht (meiner nicht), kommt man auch nicht über ssh rein. Also stockt der ganze Server weil er gerne das Passwort für das Zertifikat gern hätte.

Nicht gut.

Also nehmen wir es wieder raus? Dann wäre das ja alles umsonst gewesen. Wem es dann doch nicht so wichtig war der macht folgendes um das Passwort wieder los zu werden laut Dokumentation (http://www.openssl.org/docs/apps/rsa.html):

openssl rsa -in key.pem -out keyout.pem

 

Wer das nicht möchte braucht also eine ander Lösung. Mal rein schauen. Das ganze wird beim apache2 in dieser conf angesprochen:

/etc/apache2/mods-enabled/ssl.conf

 

Dort steht sowas wie:

# Pass Phrase Dialog:
# Configure the pass phrase gathering process.
# The filtering dialog program (`builtin‘ is a internal
# terminal dialog) has to provide the pass phrase on stdout.
SSLPassPhraseDialog builtin

Na also da haben wir es doch schon. Wir sind selber Schuld. Also mal lesen was die Dokumentation dazu sagt: https://httpd.apache.org/docs/current/mod/mod_ssl.html#sslpassphrasedialog

Da gibt es reichlich Auswahl. Die Einfachste wäre also mal anstatt „builtin“ folgendes zu schreiben:

SSLPassPhraseDialog  exec:/mein/absoluter/pfad/passphrase-file.sh

 

… danach …

nano /mein/absoluter/pfad/passphrase-file.sh

 

… dort schreiben wir rein …

#!/bin/sh
echo "nicht-mehr-ganz-geheimes-passwort"

 

… und …

chmod +x /mein/absoluter/pfad/passphrase-file.sh

 

Etwas besser.

Wer jetzt noch Lust hat kann sich überlegen wie er es noch sicherer macht.

1 Gedanke zu „Apache Pass Phrase Dialog“

  1. Pingback: p12 oder pkcs12 nach pem bzw. crt und key konvertieren - Gutermann Net

Kommentare sind geschlossen.