web-dev-qa-db-ja.com

ssl-cert-snakeoil.keyの目的は何ですか

今、ssh経由でアクセスしたいubuntu 12.04.3サーバーをインストールしました。そのため、私は移動した秘密鍵を作成しました

/etc/ssl/private/

なぜ秘密鍵ssl-cert-snakeoil.keyが既に存在するのか不思議に思っています。この秘密鍵はどこで使用され、削除できますか?

59
My-Name-Is

Ssl-snakeoil.keyは、ssl-certパッケージのインストール後スクリプトによって作成されるキーです。これはsnakeoilユーザー用に作成され、削除しないでください

grep '#' /var/lib/dpkg/info/ssl-cert.postinst 
#!/bin/sh -e
# Create the ssl-cert system group for snakeoil ownership:
# Check if the generated snakeoil key/cert has been generated 
# from a vulnerable openssl version and replace it if necessary.
    # check if the cert and key file exist,
    # the issuer and subject are the same (self signed cert)
    # and the private key is vulnerable
# no need to perform any check. If the certificates are there
# it will exit 0.
# allow group ssl-cert to access /etc/ssl/private
# If we're upgrading from an older version, fix the unreadable key:

さて、ssl-certパッケージとは何ですか:

このパッケージにより、SSL証明書を作成する必要があるパッケージの無人インストールが可能になります。

これは、OpenSSLの証明書要求ユーティリティの単純なラッパーであり、正しいユーザー変数を提供します。

したがって、これはSSL証明書を作成する必要があるパッケージのインストールに使用される証明書であるため、システムはこのパッケージのインストール時にその場で証明書を生成します。

補足として、このパッケージはUbuntu専用ではありません。Debianにも表示されるためです。

45
Braiam

これは、サーバーのDebianベースのOSがインストールされたときに作成されるサーバー固有の公開キーと秘密キーのペアです(Ubuntuなど)。

他のSSL証明書がインストールまたは構成されていないが、暗号化された通信が有効であり、望ましい場合に使用されます。

トラフィックを安全に暗号化しますが、ルート権限署名がないため、最も単純な中間者攻撃に対して脆弱であるため、安全ではないため「snakeoil」と名付けられています。

Webサイト管理者は、実際にHTTPSに使用するような、CAからの適切に署名されたキーでsnakeoilキーを参照するサービスを再構成する必要があります。

22
dyasta