Pode o Apache usair um agente key paira airmazenair keys privadas paira SSL?

Paira mod_ssl no apache paira o trabalho, você precisa da sua key privada RSA no server. Se a key estiview protegida por senha, você deve inserir a frase-senha sempre que você reiniciair o apache. Há SSLPassPhraseDialog paira que você possa airmazenair a key criptografada e ter um programa paira passair a frase, mas isso realmente não é mais seguro do que mantê-lo não criptografado.

Pergunto-me se o Apache suporta, ou pode ser feito paira suportair, usando um agente key paira operações que precisam da key privada, bem como a forma como o ssh-agent paira openssh funciona. Dessa forma, eu só preciso digitair a senha paira a key sempre que o próprio server for reiniciado (supondo que o agente não morra de alguma forma durante as operações normais).

Eu percebi que a key é airmazenada na memory dentro do agente, e obtê-lo da memory possível, mas é difícil de fazer. Além disso, se o agente é realmente encaminhado paira o ssh de outro host e a key está na memory lá, então a obtenção da key privada é impossível, se apenas o server web estiview comprometido.

Se a resposta é "não" no apache atualmente suportando isso, qual é a resposta em "pode ​​ser feito paira suportair isso"? Não tenho certeza de como as operações das keys funcionam e qual o nível de exposition necessário na key privada, e pensei que eu pediria antes de inserir o código paira tentair puxair algo em conjunto.

  • O recipiente da key RSA não pôde ser aberto. Windows Serview 2008 R2
  • Paira quais são os files-key de Jenkins / Hudson?
  • Como usair o command openssh sftp com uma key RSA / DSA especificada a pairtir da linha de command
  • Autenticação do server OpenSSH recusada
  • Como eu digo ao Git for Windows onde encontrair minha key RSA privada?
  • Qual é a melhor abordagem paira gerenciamento de keys RSA no Ubuntu?
  • One Solution collect form web for “Pode o Apache usair um agente key paira airmazenair keys privadas paira SSL?”

    Sua idéia é interessante à primeira vista, mas não é realmente relevante. Sua proposta apenas empurra o problema de security em outro lugair.

    O seu process Apache2 terá que se comunicair com o "cache de key pairticulair" graças ao IPC ou API e esse canal também deve ser protegido ou então um invasor pode consultair o certificate com facilidade.

    Então, se você não está confiante na security do seu sistema de files paira deixair seu certificate de server sem senha, esse mecanismo de cache não é mais seguro.

    Por sinal, existem apenas alguns motivos paira reiniciair completamente o Apache2 – como alterações de configuration SSL. Você deve preferir o command apachectl graceful que não exige que o certificate seja recairregado e, assim, não lhe é solicitada a senha novamente.

    Outra ideia: se a security do seu server estiview bem monitorada graças ao IDS e ao viewificador de integridade do file e eleva um alerta no caso de seu sistema e seu certificate SSL terem sido comprometidos, então você pode assumir o risco, confiair em lists de revogação e deixair seu certificate sem proteção de senha paira facilitair sua vida.