---

Hej

Jeg har en Apache webserver, hvor jeg bruger mod_ssl. Jeg har
selvfølgelig et tilknyttet SSL-certifikat, og det har et password
tilknyttet.

Når jeg starter Apache beder den om passwordet til mit SSL-certifikat,
så den kan starte mod_ssl rigtigt op. Det gør så desværre også bare at
Apache ikke kan komme op automatisk efter en reboot.

Hvordan løser man det problem? Det er ikke hamrende vigtigt for mig at
der er stor sikkerhed omkring passwordet til mit SSL-certifikat. Jeg
har tænkt at man kunne pakke /etc/init.d/apache ind i et script der
bruger expect, men det synes jeg selv er en grim og ufin
løsning. Hvilke andre muligheder er der?

--
Jacob

---

Jacob Bunk Nielsen wrote in
<news:spamdrop+7twtp5owuo.fsf@armstrong.exiqon.com>:

> Når jeg starter Apache beder den om passwordet til mit
> SSL-certifikat, så den kan starte mod_ssl rigtigt op. Det gør så
> desværre også bare at Apache ikke kan komme op automatisk efter en
> reboot.
>
> Hvordan løser man det problem? Det er ikke hamrende vigtigt for
> mig at der er stor sikkerhed omkring passwordet til mit
> SSL-certifikat. Jeg har tænkt at man kunne pakke
> /etc/init.d/apache ind i et script der bruger expect, men det
> synes jeg selv er en grim og ufin løsning. Hvilke andre muligheder
> er der?

http://httpd.apache.org/docs-2.0/ssl/ssl_faq.html

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php
På det digitale natbord: Free Culture
Lawrence Lessig, 2004

---

"Niels Callesøe" <pfy@nntp.dk> writes:
> Jacob Bunk Nielsen wrote:
>
>> Når jeg starter Apache beder den om passwordet til mit
>> SSL-certifikat, så den kan starte mod_ssl rigtigt op. Det gør så
>> desværre også bare at Apache ikke kan komme op automatisk efter en
>> reboot. [...]
>
> http://httpd.apache.org/docs-2.0/ssl/ssl_faq.html

Super! Tak -- jeg skal nok lære at læse manualen til næste gang

--
Jacob

---

Jacob Bunk Nielsen wrote:

>>> Når jeg starter Apache beder den om passwordet til mit
>>> SSL-certifikat, så den kan starte mod_ssl rigtigt op. Det gør så
>>> desværre også bare at Apache ikke kan komme op automatisk efter en
>>> reboot. [...]
>>
>> http://httpd.apache.org/docs-2.0/ssl/ssl_faq.html
>
> Super! Tak -- jeg skal nok lære at læse manualen til næste gang

Det var så lidt. Jeg kunne tilfældigvis huske at have set svaret på dit
spørgsmål i FAQ'en for nyligt, da jeg sloges med mod_ssl og php4[0].


[0]: Det viser sig at der er en "bug" i php4 der gør at fsockopen()
ikke kan bruge SSL hvis SSL ikke er bygget som et static library.

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

Apathy is Death

---

Jacob Bunk Nielsen <spam@bunk.cc> skrev 2005-06-08:
> Hej
>
> Jeg har en Apache webserver, hvor jeg bruger mod_ssl. Jeg har
> selvfølgelig et tilknyttet SSL-certifikat, og det har et password
> tilknyttet.
>
> Når jeg starter Apache beder den om passwordet til mit SSL-certifikat,
> så den kan starte mod_ssl rigtigt op. Det gør så desværre også bare at
> Apache ikke kan komme op automatisk efter en reboot.
>
> Hvordan løser man det problem? Det er ikke hamrende vigtigt for mig at
> der er stor sikkerhed omkring passwordet til mit SSL-certifikat. Jeg
> har tænkt at man kunne pakke /etc/init.d/apache ind i et script der
> bruger expect, men det synes jeg selv er en grim og ufin
> løsning. Hvilke andre muligheder er der?
>
Lav et certifikat uden password. Det kører jeg med på min server.

Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel/Aethra routere.
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.

---

Martin Schultz <news2005@adsltips.invalid> writes:

> Lav et certifikat uden password. Det kører jeg med på min server.

Niels havde ret i at jeg bare skulle læse manualen. At lave et nyt
certifikat er ikke en god løsning, da jeg har betalt en masse penge
for at få signeret det jeg har.

--
Jacob

---

Jacob Bunk Nielsen <spam@bunk.cc> skrev 2005-06-08:
> Martin Schultz <news2005@adsltips.invalid> writes:
>
>> Lav et certifikat uden password. Det kører jeg med på min server.
>
> Niels havde ret i at jeg bare skulle læse manualen. At lave et nyt
> certifikat er ikke en god løsning, da jeg har betalt en masse penge
> for at få signeret det jeg har.
>
Det havde jeg ikke lige overvejet. Mit er selv signeret.

Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel/Aethra routere.
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.

---

Jacob Bunk Nielsen wrote:
> Hej
>
> Jeg har en Apache webserver, hvor jeg bruger mod_ssl. Jeg har
> selvfølgelig et tilknyttet SSL-certifikat, og det har et password
> tilknyttet.
>
> Når jeg starter Apache beder den om passwordet til mit SSL-certifikat,
> så den kan starte mod_ssl rigtigt op. Det gør så desværre også bare at
> Apache ikke kan komme op automatisk efter en reboot.
>
> Hvordan løser man det problem? Det er ikke hamrende vigtigt for mig at
> der er stor sikkerhed omkring passwordet til mit SSL-certifikat. Jeg
> har tænkt at man kunne pakke /etc/init.d/apache ind i et script der
> bruger expect, men det synes jeg selv er en grim og ufin
> løsning. Hvilke andre muligheder er der?

1) Køb en smart card reader på et PCI kort og sæt et smart card i
readeren. Derpå lagres dit certifikat og kan derefter ikke stjæles eller
kopieres. Kortet står for alle beregningerne.

2) Køb en server med en TCG security chip i og gem certifikatet deri. Så
kan det heller ikke stjæles og de fleste TCG implementationer har en
form for accelerator så systemet er i stand til at besvare 10x eller
100x så mange SSL requests uden at CPUen belastes.

Option 1 kan vel gøres for kr. 1000-1500 mens 2 er lidt dyrere. Jeg har
ikke set option 2 som PCI indstikskort.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Alex Holst <a@mongers.org> writes:

> 1) Køb en smart card reader på et PCI kort og sæt et smart card i
> readeren. Derpå lagres dit certifikat og kan derefter ikke stjæles eller
> kopieres. Kortet står for alle beregningerne.

Tak for forslaget, men det er vist lidt over hvad jeg er villig til at
ofre af tid og ressourcer på det.

Jeg har primært mit SSL-certifikat for at brugeren kan se at det er
min arbejdsplads der er i den anden ende af forbindelsen, og ikke
fordi jeg skal beskytte fx kreditkorttransaktioner.

> 2) Køb en server med en TCG security chip i og gem certifikatet deri. Så
> kan det heller ikke stjæles og de fleste TCG implementationer har en
> form for accelerator så systemet er i stand til at besvare 10x eller
> 100x så mange SSL requests uden at CPUen belastes.

"Jeg" har allerede brugt rigeligt med penge til servere til netop det
projekt, så det er nok ikke en reel option

--
Jacob - www.bunk.cc
Weekend, where are you?