Loick.B wrote:
Bonjour à tous.Migrant actuellement des serveurs sous Woody (avec apache *et* apache-ssl tournant ensemble) vers Sarge, je m'essaye à l'installation de mod-ssl proposée par défaut. Pas de pb à l'installation, mais le serveur me demande désormais le mot de passe du certificat au démarrage du serveur. Cela m'ennuie car la situation devient bloquante lors d'un boot du serveur (le script d'init ne transmet pas le mdp mais garde la main, m'empéchant d'intervenir et gelant le boot)...Je souhaiterai donc savoir si il est possible;1. De passer automatiquement le mot de passe au démarrage (de cette façon et en cas de shutdown auto de la machine, le serveur apache redémarrera seul).2 De générer les certifs sans mot de passe (ce qui n'est pas possible par défaut). Je dois avouer que cette solution serait celle de la dernière chance, car elle ne me satisfait pas en terme de CQ... +
CQ ? Charte Qualité ?En fait, c'est normal de ne pas générer de mot de passe pour le certificat du serveur: qu'est-ce que ça apporte de plus, au final ? Si l'attaquant à accès au fichier: c'est qu'il a obtenu les privilèges root (parce que le fichier ne doit pas être lisible par n'importe qui non plus). En outre, si jamais tu mets quand même un mot de passe, que soit via l'option SSLPassPhraseDialog qui a été citée soit en la passant au serveur au démarrage (donc, en la stockant quelque part, en clair, parce que jusqu'à preuve du contraire, je ne sais pas si tu peux faire autrement, à moins de faire un script de démarrage assez évolué...),
le fameux mot de passe sera rapidemment accessible à ce même attaquant.Morale de l'histoire: si tu veux que ce certificat assure bien de l'intégrité de ton serveur, assure-toi de sa sécurité.
-- Raphaël 'SurcouF' Bordet http://debianfr.net/ | surcouf at debianfr dot net