« SELINUX uitschakelenMarket is nu Play »

Passphrase SSL certificate verwijderen

Van de week was het weer tijd om een verlenging te regelen voor een SSL certifcate van een website. Voor de verandering was het dit keer ruim op tijd dat ik het opmerkte .... :-)

Nieuwe key aanmaken, met passphrase, CSR (certificate signing request) aanmaken (gebruik makend van de passphrase die zojuist is ingetikt. Wijs geworden sla ik tegenwoordig deze passphrases direct op in dezelfde directory, want ik neig er wel naar om ze te vergeten.

Na een paar dagen is alles afgehandeld en kan het nieuwe certificate gedownload worden.

Ik sla de bestanden als volgt op:

site.nl_2011.key
site.nl_2011.csr
site.nl_2011.crt
site.nl_2012.key
site.nl_2012.csr
site.nl_2012.crt

Daarna creƫer ik softlinks naar de nieuwe bestanden, zodat in de Apache config files niets hoeft te worden aangepast:

ln -s site.nl_2012.csr site.nl.csr
ln -s site.nl_2012.key site.nl.key
ln -s site.nl_2012.crt site.nl.crt

De naamgeving van de files doet er niet toe: je ziet ook wel dat de extensie .cer gebruikt wordt, maar ook de filename zelf doet er niet toe: als je de naam ssl.key ssl.crt en ssl.csr gebruikt dan kan dat ook. Kwestie van in de Apache config files naar de goede locatie en filenames verwijzen. Zelf vind ik dit duidelijk.

Daarna kan Apache herstart worden:

/etc/init.d/httpd restart

en klaar ben je.

Oh, daar komt nog een vraagje langs: passphrase.

Apache vraagt nu elke keer dat je iets met de key wilt doen om de in stap 1 ingevoerde passphrase. Dat is eigenlijk helemaal niet handig: servers willen wel eens spontaan rebooten. Apache start misschien af te toe in z'n eentje opnieuw op. En dan is er niemand die de vraag "passphrase" ziet staan. Een andere beheerder (of ikzelf) restart Apache misschien over 8 maanden opnieuw, en dan weet niemand zo snel het password.

Niet heel handig dus eigenlijk om die passphrase op te nemen. Wel veilig, maar een veilige site die er een paar keer per jaar uitligt omdat Apache om 04:30 is herstart, is ook niet handig. Gelukkig is het simpel mogelijk om de passphrase er weer vanaf te halen:

openssl rsa -in site.nl_2012.key -out site.nl_2012_no_pass.key

Daarna de link van site.nl.key omleiden:

rm site.nl.key
ln -s site.nl_2012_no_pass.key site.nl.key
/etc/init.d/httpd restart

Apache start nu opnieuw op en vraagt niet langer om de passphrase. Tot half september 2013 zitten we weer goed.

This entry was posted on August 20th, 2012 at 10:09 by admin and is filed under Web, Servers. Tags: apache ssl

No feedback yet