Apache auto start met certificaat

Wat is de reden geweest dat je gekozen hebt om de private key mee te nemen?

Om een SSL verbinding op te zetten naar je Apache Server heeft deze een sleutelpaar nodig. Een private en een public. De ondertekende versie van je public key (inclusief alle DN velden) is het certificaat.
Nu zitten beide sleutels (en dus ook je certificaat) in het zelfde bestand. Op zich geen probleem maar vanuit beveiligingsoverwegingen heeft je private key een bescherming gekregen in de vorm van een passphrase.

Je private key verwijderen uit het certificaat zal resulteren in een onbruikbaar certificaat. Je hebt immers een private key nodig als server om SSL sessies te accepteren.
Je kan de private key wel lostrekken van je certificaat, maar dan zal je alsnog een wachtwoord op moeten geven tijden het starten van Apache.

Nu zijn er 2 opties:

• Of je accepteert het feit dat je bij elke herstart van Apache een passphrase in moet vullen (meest veilige methode)
• Of je ontdoet de private key van het wachtwoord. (minst veilige methode, maar in een testomgeving geen probleem)

Op de voglende website kan je informatie vinden hoe je een passphrase verwijderd van een RSA private key: http://www.openssl.org/docs/apps/rsa.html

Duizend keer gedaan al (overdreven, maargoed )

google zegt dit

[ Voor 0% gewijzigd door Heidistein op 29-08-2011 09:55 . Reden: typo ]

Dat is ook een optie, maar ook in zo'n oplossing vertrouw je dus volledig op de veiligheid van de server zelf. Iemand die zich root access toekent kan dus ook je passphrase-file uitlezen.

De beste methode zou natuurlijk een certificate store zijn die alleen beschikbaar is voor de apache/www-user. De veiligheid hiervan is echter ook in het gedrang bij root-access

Bij root toegang is sowieso de veiligheid in het gedrang. Op unix hebben we dergelijke tools als 'process accounting' samen met een syslog server om precies bij te houden wie wat doet + niemand die in mag loggen als root.
Windows kan dat vast ook...

Als je server compromized wordt, heb je overigens meer waar je je zorgen oven dient te maken; je moet er "gewoon" voor zorgen dat je cert niet gestolen wordt! Het alderbeste is inderdaad dat je elke friggin' keer dat je apache start je passphrase moet inrammelen... GAH!

En dat heet een risicoanalyse.
Wil je alles veilig, dan moet je elke herstart een wachtwoord invullen. Is veiligheid niet extreem nodig (laag risicoprofiel) dan is het oke om het password er vanaf te slopen of je wachtwoord te laten echoën vanuit een shellscript.

2 keuzes

- Je verwijdert de passphrase van je private key
- Je start alleen handmatig waarbij je zelf de passphrase moet invoeren.

Of je leest het topic even door

Er was nog en derde optie die wordt aangegeven door Heidistein:

Heidistein schreef op vrijdag 26 augustus 2011 @ 09:19:
Duizend ker gedaan al (overdreven, maargoed )

google zegt dit

[ Voor 84% gewijzigd door Equator op 26-08-2011 11:56 ]