miércoles, 5 de diciembre de 2018

Quitar contraseña de un certificado SSL



Cómo quitar la contraseña de un certificado SSL, para que el servidor no la pida al reiniciarse.



Si tenemos un servidor web que sirva contenido HTTPS, necesitamos un certificado SSL que asegure las conexiones HTTPS hacia él. Los certificados SSL se suelen crear con un contraseña incrustada cuya utilidad principal es evitar que si el servidor web se ve comprometido, el intruso pueda robar el certificado y usarlo en otra máquina para realizar ataques de phishing, o similares.

Por otro lado, nos encontramos con que al proteger un certificado SSL con contraseña, cada vez que reiniciemos Apache o reiniciemos la máquina, el sistema nos pedirá que introduzcamos la contraseña:

Server dominio.com:443 (RSA) Enter pass phrase:

Esto puede llegar a ser un engorro y puede llegar a provocar downtime del sitio web. Si, por ejemplo, varias personas tienen acceso al servidor (desarrolladores, administradores, operadores, etc.) y una de ellas lo reinicia por una u otra causa, es posible que se olvide de que hay que intoducir el password del certificado durante el arranque de la máquina y el servicio web quede caído hasta que alguien se de cuenta. Si el certificado no tiene contraseña, se puede reiniciar la máquina sin mayor preocupación.

Para evitar que Apache nos pida la contraseña del certificado SSL cada vez que lo reiniciemos (o que reiniciemos la máquina), podemos usar este comando para quitar la contraseña a la clave privada:

HOST# openssl rsa -in /ssl/dominio.key -out /ssl/dominio_sin_password.key

La máquina nos preguntará entonces por la contraseña del certificado.

Después de introducirla por última vez, se generará un archivo .key sin contraseña.

Lo último que queda por hacer es configurar Apache para que use el archivo .key que contiene la clave privada sin contraseña. A partir de este momento, al reiniciar Apache (o la máquina), este ya no pedirá la contraseña del certificado, pero seamos conscientes de que cualquiera que consiga hackear el servidor podrá extraer y usar el certificado SSL del dominio a su antojo.
0

0 comentarios:

Publicar un comentario