Estoy implementando HTTPS con Nginx y generé una clave privada con frase de contraseña. Ahora me pregunto ¿cuál es la práctica en el entorno de producción, utilizando claves no protegidas o protegidas con la directiva ssl_password_file ? No veo ningún valor en esta directiva donde coloque la frase de contraseña en texto sin formato. ¿Alguien puede arrojarme algo de luz sobre esto?
Los entornos de producción comunes permiten el reinicio desatendido. Eso significa que el último secreto deberá estar presente en el disco en texto plano o en forma invertible.
Por lo tanto, las únicas 2 formas son aceptarlo y, en su caso de uso, simplemente instale una copia no protegida de la clave y confíe en la seguridad de la infraestructura para protegerla, o utilice la ofuscación e intente ocultar la contraseña en otro lugar .
La única alternativa sería el uso de HSM . Desafortunadamente, no pude encontrar ninguna indicación sobre cómo se podría usar un HSM para mantener la clave privada de nginx. Un artículo del blog de 2016 dice:
Lamentablemente, tanto Apache como NGINX no admiten PKCS # 11 en su módulo ssl.
Tal vez alguien pueda encontrar una referencia más reciente que diga que ahora es posible
Sin embargo, parece que Apache ya tiene algo de soporte a través de un módulo externo. El mismo blog dice:
Para Apache puede usar mod_nss para usar los certificados del HSM.
Utimaco (fd: mi empleador) puede proporcionarle una guía de integración para el uso de nginx de nuestro HSM. Va a través de PKCS # 11 pero desde el punto de vista de su caso de uso, no le importa. También admitimos mod_nss para apache y JCE para Tomcat.
También puedes usar mod_ssl a través de opensc y su implementación PKCS # 11, pero es un poco difícil de configurar.
rw
Lea otras preguntas en las etiquetas public-key-infrastructure tls passphrase nginx