Apache起動時に秘密鍵パスフレーズを省略したい

ベリサインで取得していただいた、秘密鍵をインストール後、アパッチの再起動を行うと、SSL起動時に毎回パスワードが聞かれます。
http://support.6web.ne.jp/archives/15
上記サイトを確認したところ、既に作成されたキーファイルよりパスフレーズをとり、別名で作成されたファイルをhttpd.confで指定するとのことですが、再度、CSRをベリサインに送付し、証明書を取得し直す必要はないのでしょうか。

また、このサイトに記述されている　#Enter pass phrase for ./2011key.pem　について、openssl文にて既にパスフレーズなしの鍵が作成されていると思いますが、この文を実行すると、パスフレーズなしで作成されたファイルにパスフレーズが格納される認識で正しいでしょうか。

また、他にもパスワードを記述したスクリプトファイルを用意する方法なども存在するらいしいのですが、一般的はどのような方法がよいかも教えていただけたら幸いです。

よろしくお願いいたします。

No.2 ベストアンサー 回答者： entree 回答日時： 2013/03/17 08:28

> 上記サイトを確認したところ、既に作成されたキーファイルよりパスフレーズをとり、別名

> で作成されたファイルをhttpd.confで指定するとのことですが、再度、CSRをベリサインに
> 送付し、証明書を取得し直す必要はないのでしょうか。

ありません。パスフレーズを外すこと＝キーペアを変更することではありませんので。
ちなみに、後からパスフレーズを設定する（暗号化）することもできます。

> また、このサイトに記述されている　#Enter pass phrase for ./2011key.pem　について、
> openssl文にて既にパスフレーズなしの鍵が作成されていると思いますが、この文を実行す
> ると、パスフレーズなしで作成されたファイルにパスフレーズが格納される認識で正しい
> でしょうか。

その認識で構いません。

httpd.confまたはhttpd-ssl.conf に下記の設定を追加し、pp-filterは実行すると
パスワードを出力するようにします。

SSLPassPhraseDialog exec:/etc/httpd/conf/pp-filter

> また、他にもパスワードを記述したスクリプトファイルを用意する方法なども存在する
> らいしいのですが、一般的はどのような方法がよいかも教えていただけたら幸いです。

まず、作成したキーペアのパスフレーズを後から解除するくらいなら、最初から
パスフレーズを設定（暗号化）しなくて構いません。（yoroshiku_さんは既に
暗号化したキーペアで申請されたということなので、今回は仕方がありませんが）

↓キーペアをこんな風なコマンドで作りませんでしたか？ -aes256 のところは、
-des3 とかも指定できますが、これが暗号化の設定です。

openssl genrsa -t rsa -aes256 2048

例えば、下記ならパスフレーズの設定を求められません。

openssl genrsa -t rsa 2048

次に、パスフレーズは解除せず、pp-filterを使用する方法。
実行してパスフレーズが出てくるのであれば、パスフレーズを設定している
意味がほとんどないような気もします。

--
#!/bin/sh

echo 'password'
--

※一般ユーザでapacheを起動する場合は、pp-filterに実行権限のみ与えることで、
プログラムの中に書かれているパスフレーズを読めなくできるので、その場合は
意味があるでしょう。ただし、その場合はpp-filterをCなどで書いてコンパイル
する必要があります。

ということで、どちらの方法もイマイチですが、自動入力ということはサーバ内に
パスワードを生成できる情報を置いておく必要があるのですから、イマイチでも
仕方がありません。結局のところ、最初からパスフレーズを暗号化しないのが
シンプルで良いのではないでしょうか。

この回答へのお礼

詳細な説明ありがとうございます。
理解できました。
パスワードをはずすぐらいなら、初めからつけないのが一般的とのこと
ですね。
勉強になりました。

お礼日時：2013/03/17 09:29

No.1 回答者： wingstar 回答日時： 2013/03/16 16:11

ベリサインに聞いてみては?

その方が早いし、正確な答えが返ってくると思います。
証明書作成後1ヶ月くらいだったら、作り直しとか出来たような記憶があります。
間違ってたらすみません。