SSL証明書をApacheに追加しました。問題は、Apacheがシステムの起動時に実行され、サーバーがオンになった後、Apacheが実行されるが実行されないことです。コンピューターのIPアドレスを入力すると、ブラウザーは接続を試行し続けます。回転する円が見えます。
次に、サーバーにアクセスして、Apache関連のすべてのプロセスを強制終了し、Sudo service Apache2 restart
を実行します。 Sudo
のため、スーパーユーザーのパスワードの入力を求められますが、入力すると、Apacheは.keyファイルのパスワードを要求します。私はそれを入れると、Apacheは問題なく動作します。 SSLも機能します。
では、Apacheを再起動するまで動作しないのはなぜですか?スタートアップごとにパスワードを入力したいからでしょうか?その場合、Xubuntuサーバーでどのようにすればよいですか?毎回入れる必要がないように作ることができますか?
SSL証明書の秘密キーはパスワードで保護されているようです。これが本当に当てはまるかどうかをテストするには、コマンドhead -3 your.key
を使用してキーファイルの先頭を調べます。この秘密鍵は暗号化されています:
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,C251E8A1254B933D763703EE1C364AB7
このファイルは暗号化されていません:
-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAvbeWtO9nQP4cFFuhGrOM/WQ73oTQHU7mzZB9CaA3R2iwjDNz
wwlDtT9tfo0tCC2ib9STfeM6AYrdI3wauzCu7AV4CFGSMP3HLX8DJuk8zzbdQHHv
RSA秘密鍵からパスワードを削除するには、次のコマンドを使用します。
umask 077
mv your.key old-with-pass.key
openssl rsa -in old-with-pass.key -out your.key
umask 077
コマンドは、新しいキーが過度に緩和されたアクセス許可で作成されないようにするために必要です。または、chmod 400 new.key
を使用してファイルのモードを手動で変更できます。キーの場所によっては、openssl
、mv
、およびchmod
コマンドの前にSudo
を付ける必要があります。
@ -JamesSneeringerによる http://serverfault.com に関する回答。
過去に自分のキーファイルからパスフレーズを削除したことは有罪でした。これは最も簡単な解決策であるためですが、セキュリティに関しては最良のアイデアではありません。別の方法は、パスフレーズをApacheにフィードすることです。これを行うには、
httpd.conf
(または含まれる別のファイル)でSSLPassPhraseDialog
オプションを使用します。サーバーにSSLサイトが1つしかない場合、最も簡単な形式は次のとおりです。
# either of these will work SSLPassPhraseDialog |/path/to/passphrase-script SSLPassPhraseDialog exec:/path/to/passphrase-script
次に、次のようなものを含む
/path/to/passphrase-script
という非常に単純なスクリプトを作成します。#!/bin/sh echo "put the passphrase here"
起動時に、Apacheはこのスクリプトの出力を取得し、SSLキーのパスフレーズとして使用します。複数のSSLサイトがある場合は、
SSLPassPhraseDialog
で使用できる追加の方法があるため、すべてのキーに対して単一のスクリプトを使用するか、各キーに対して個別のスクリプトを使用するか、または必要に応じてそれをするために。