我们有我们的基础设施在亚马逊ec2。 因为我们正在增长,所以我们正在build立一个基本的Web服务器AMI镜像,我们将用它来启动新的服务器。
主要的问题是,当机器启动时,它不会启动httpd,因为它要求证书私钥密码。
我正在考虑存储未encryption的私钥(没有密码)的选项。 我知道如果有人得到钥匙可以用我的名义,但我的问题是他们如何得到钥匙?
我们有一个强大的SSH用户密码,然后为root用户。 该密钥将只具有根访问权限。
有没有其他的方式,而不是SSH,有人可以入侵服务器,并获得私钥?
你知道还是为一些实际存储密钥的公司工作吗?
非常感谢
任何有权访问正在运行的计算机(或主机硬件)的人都可以访问未encryption的密钥。 否则,如果您正确设置了文件许可权,那么它将完全损害机器安全性(远程执行代码执行权限或类似的权限)来读取私钥。 因为无论如何这将是一件坏事 ,存储未encryption的私钥是没有问题的。
我build议您确保存储的任何密钥都是主机特定的,而不是全局或用户特定的,以便在单台计算机受到危害时很容易限制损坏。
自动填充的内容很接近,但不完全准确,如果设置正确,不是每个人都可以访问证书。
在这里看到Apache的官方回应 。