È possibile configurare TLS / SSL in Nginx senza mantenere le chiavi private sul disco?

Naviga le tue risposte
1

Quando configuri TLS in Nginx tramite ssl_certificate e ssl_certificate_key , devi fornire le chiavi come file. Da quanto ho capito, in genere è consigliabile evitare di tenere le chiavi private permanentemente su disco, a meno che non si disponga di altre opzioni.

È possibile configurare Nginx in modo tale che non siano necessari file persistenti e le chiavi vengano semplicemente mantenute in memoria?

Non sei sicuro di cosa faccia Nginx se rimuovi i file dopo che il server è stato avviato. Ho trovato un modo possibile per evitare di tenere le chiavi su disco usando ganci basati su LUA (vedi ssl_certificate_by_lua_block ) , ma mi chiedo se esiste una soluzione più semplice.

    
posta Philipp Claßen 04.05.2017 - 19:00
fonte

1 risposta

1

Non sono chiaro se l'obiettivo è avere un set fisso di certificati che vengono utilizzati ripetutamente o se l'intento è di avere un server NGINX in cui le chiavi non possono essere sfruttate se il server è compromesso.

Un approccio alternativo potrebbe essere l'uso di letsencrypt.org per automatizzare la generazione dei certificati e con la serie corretta di script aggiornarli continuamente.

Una soluzione per Ubuntu 16.04: link

    
risposta data 04.05.2017 - 23:19
fonte

Leggi altre domande sui tag

Esiste un modo per differenziare i certificati forniti come parte della catena di certificati da quelli già presenti nell'archivio di fiducia? Un utente Linux sudo-less di base o un utente sudo ma con una password per sudo offre una sicurezza sufficiente contro gli exploit delle pagine web?