¿Es posible configurar TLS / SSL en Nginx sin conservar las claves privadas en el disco?

Navega tus respuestas
1

Cuando configura TLS en Nginx a través de ssl_certificate y ssl_certificate_key , debe proporcionar las claves como archivos. A mi entender, en general es una buena práctica evitar mantener las claves privadas permanentemente en el disco a menos que no tenga otra opción.

¿Es posible configurar Nginx para que no se necesiten archivos persistentes y las claves se guarden en la memoria?

No estoy seguro de lo que hace Nginx si elimina los archivos después de que el servidor se haya iniciado. He encontrado una forma posible de evitar mantener las claves en el disco utilizando ganchos basados en LUA (consulte ssl_certificate_by_lua_block ) , pero me pregunto si hay una solución más simple.

    
pregunta Philipp Claßen 04.05.2017 - 19:00
fuente

1 respuesta

1

No estoy claro si el objetivo es tener un conjunto fijo de certificados que se usan repetidamente o si la intención es tener un servidor NGINX donde las claves no puedan ser explotadas si el servidor está comprometido.

Un enfoque alternativo podría ser utilizar letsencrypt.org para automatizar la generación de certificados y, con el conjunto correcto de scripts, actualizarlos continuamente.

Un tutorial para Ubuntu 16.04: enlace

    
respondido por el Jean-Michel Florent 04.05.2017 - 23:19
fuente

Lea otras preguntas en las etiquetas

¿El otorgamiento de acceso a los datos sin la aprobación del propietario sentará un mal precedente? ¿Hay alguna forma de diferenciar los certificados que vinieron como parte de la cadena de certificados de los que ya están en el almacén de confianza?