Sto implementando HTTPS con Nginx e ho generato la chiave privata con passphrase. Ora mi chiedo qual è la pratica in ambiente di produzione, utilizzando chiavi non protette o protette con direttiva ssl_password_file ? Non vedo alcun valore in questa direttiva in cui inserisco passphrase in testo normale. Qualcuno può far luce su questo.
Gli ambienti di produzione comuni consentono il riavvio non presidiato. Ciò significa che il segreto finale dovrà essere presente sul disco in testo normale o in una forma invertibile.
Quindi gli unici 2 modi sono o per accettarlo e nel tuo caso d'uso basta installare una copia non protetta della chiave, e fare affidamento sulla sicurezza dell'infrastruttura per proteggerla, o usare l'offuscamento e cercare di nascondere la password altrove .
L'unica alternativa sarebbe l'uso di HSM . Purtroppo non sono riuscito a trovare alcuna indicazione su come un HSM potrebbe essere utilizzato per contenere la chiave privata per nginx. Un articolo del blog del 2016 dice:
Sadly, both Apache and NGINX do not support PKCS#11 in their ssl module.
Forse qualcuno sarà in grado di trovare un nuovo riferimento dicendo che ora è possibile
Tuttavia, sembra che Apache abbia già un certo supporto attraverso un modulo esterno. Lo stesso blog dice:
For Apache you can use mod_nss to use the certificates from the HSM.
Utimaco (fd: il mio datore di lavoro) può fornirti una guida all'integrazione per l'uso di nginx del nostro HSM. Passa tramite PKCS # 11 ma dal punto di vista del tuo caso d'uso, non ti interessa. Supportiamo anche mod_nss per apache e JCE per Tomcat.
Puoi anche usare mod_ssl tramite opensc e la loro implementazione di PKCS # 11, ma è un po 'difficile da configurare.
rw
Leggi altre domande sui tag nginx public-key-infrastructure tls passphrase