Чи можу я пропустити запитання про фразу PEM при перезапуску веб-сервера?

Після придбання мультидоменного сертифіката SSL я розпочав тестування його на веб-сервері Nginx (наступна документація на їхній сторінці wiki-SSL ).

Все добре, працює, і я отримую зелений символ замка в URL-рядку, але ... щоразу, коли я перезавантажую Nginx, мені задають таке питання (один раз для кожного сервера, наприклад, 5 разів ):

Починаючи nginx: введіть фразу PEM:

Це нормально і що багато інших людей роблять? або я можу налаштувати його, щоб запам'ятати пароль?

Зокрема, це питання, коли машина перезавантажується, оскільки веб-сервер не запуститься, поки не буде введено фразу пропуску PEM (мається на увазі, що веб-сайт має час простою, поки не відбудеться якась взаємодія людини).

Як було запропоновано, я задав питання на ServerFault: /server/161768/restart-webserver-without-entering-a-password

Але коротка відповідь:

Створіть резервну копію ключа:

> cp server.key server.key.org

Скресліть пароль:

> openssl rsa -in server.key.org -out server.key

[enter the passphrase]

У новоствореного server.keyфайлу в ньому немає парольної фрази, і веб-сервери запускаються без необхідності пароля .

Інший варіант - використовувати SSLPassPhraseDialogпараметр Apaches, щоб автоматично відповісти на питання про фразу SSL.

Відмова: Якщо приватний ключ більше не шифрується, важливо, щоб цей файл читався тільки користувачем root! Якщо ваша система коли-небудь порушена, і третя сторона отримує ваш незашифрований приватний ключ, відповідний сертифікат потрібно буде відкликати.

Так, це звичайна річ. Якщо пропускна фраза зберігатиметься на диску, зловмисник може взяти сертифікат.

Звичайно, ви можете видалити пропускну фразу з сертифіката, але я б не рекомендував цього! Також існують інші технічні рішення із зовнішньою периферією.