Вопрос или проблема
Я работаю с Apache2 и Passenger для проекта на Rails. Я хотел бы создать самоподписанный SSL-сертификат для тестирования.
sudo openssl rsa -des3 -in server.key -out server.key.new
Когда я ввожу указанную выше команду, это говорит:
writing RSA key
Enter PEM pass phrase:
Если я не ввожу парольную фразу, я получаю следующую ошибку:
unable to write key
3079317228:error:28069065:lib(40):UI_set_result:result too small:ui_lib.c:869:Yo
u must type in 4 to 1024 characters
3079317228:error:0906406D:PEM routines:PEM_def_callback:problems getting passwor
d:pem_lib.c:111:
3079317228:error:0906906F:PEM routines:PEM_ASN1_write_bio:read key:pem_lib.c:382
Возможно ли сгенерировать RSA ключ без ввода pass phrase, так как я не уверен, как скрипт /etc/init.d/httpd запустит HTTP сервер без участия человека (например, если я дам 4-значную парольную фразу, то система будет ожидать ее ввода при запуске Apache HTTP сервера).
Если вы генерируете самоподписанный сертификат, вы можете создать и ключ, и сертификат одной командой следующим образом:
openssl req -nodes -new -x509 -keyout server.key -out server.cert
О, и то, что сказал @MadHatter в своем ответе о пропуске флага -des3.
Пропустите флаг -des3, который является инструкцией для openssl зашифровать server.key.new (который, между прочим, не является новым ключом – это тот же самый server.key, только с измененной/удаленной парольной фразой).
Используйте параметр -nodes, если указана эта опция, то приватный ключ не будет зашифрован, например:
openssl \
req \
-nodes \
-newkey rsa:2048 \
-keyout www.example.com.key \
-out www.example.com.csr \
-subj "/C=DE/ST=NRW/L=Berlin/O=My Inc/OU=DevOps/CN=www.example.com/[email protected]"
Команда openssl req из ответа от @Tom правильна для создания самоподписанного сертификата в server.cert включая RSA приватный ключ без пароля в server.key:
openssl req -nodes -new -x509 -keyout server.key -out server.cert
Вот как это работает. Пропуск -des3 как в ответе от @MadHatter недостаточен в данном случае для создания приватного ключа без парольной фразы. Это достаточно для этой цели в команде openssl rsa (“конвертация приватного ключа”) и команде openssl genrsa (“создание приватного ключа”). Просто не для команды openssl req здесь. Нам необходимо дополнительно указать -nodes (“Нет шифрования DES для server.key пожалуйста!”).
Добавление -nodes в ‘openssl req’ позволяет сгенерировать незашифрованный (без парольной фразы) приватный ключ из команды ‘openssl req’.
Флаг -nodes означает “No DES”: т.е., не шифрование приватного ключа.
Просто запустите это снова через openssl
сначала сгенерируйте ключ с парольной фразой
затем openssl rsa -in server.key -out server.key
Используйте следующую команду для генерации приватного ключа без пароля с НЕ шифрованием. Последний параметр – размер приватного ключа.
openssl genrsa -out my-passless-private.key 4096
Для генерации PEM-сертификата без парольной фразы:
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 10000 -nodes
Вы можете использовать openssl genpkey для создания ключа без пароля:
openssl genpkey -algorithm RSA -out my.key.pem
Для генерации самоподписанного сертификата для тестирования:
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem \
-days 365 -sha256
Затем удалите пароль из ключа с помощью
openssl rsa -in key.pem -out nopass.pem
Этот ответ взят из: https://actix.rs/docs/server/. Этот ответ дополняет https://serverfault.com/a/662445/113360 выше с предшествующим шагом.
.
Ответ или решение
Да, генерация RSA ключа без использования парольной фразы вполне возможна и может быть выполнена с использованием OpenSSL. В вашем случае, поскольку вы работаете с Apache2 и Passenger для проекта на Rails и желаете создать самоподписанный SSL сертификат для тестирования, такой подход будет особенно полезным. Это избавит от необходимости вручную вводить парольную фразу при каждом запуске Apache HTTP сервера, что особенно актуально в автоматизированной среде. Давайте рассмотрим теоретическую основу, продемонстрируем пример и обсудим практическое применение.
Теория
При генерации RSA ключа, парольная фраза обычно используется для защиты приватного ключа. Это обеспечивает дополнительный уровень безопасности, так как даже в случае компрометации файла с ключом, без парольной фразы злоумышленник не сможет использовать его. Однако, в некоторых случаях, например, для тестовых или автоматизированных сред, может быть удобно или даже необходимо создать ключ без такой защиты. OpenSSL предоставляет множество опций, позволяющих управлять процессом генерации ключей и сертификатов. Основные из них включают:
-nodes: Эта опция указывает OpenSSL не шифровать файл приватного ключа.-des3или другие флаги шифрования (например, AES): Используются для шифрования приватного ключа. Исключение этого флага позволяет избежать шифрования.openssl reqиopenssl genrsa: Команды для создания сертификатов и ключей.
Пример
Чтобы генерация ключа и сертификата без парольной фразы стала возможной, вы можете воспользоваться следующей командой:
openssl req -nodes -new -x509 -keyout server.key -out server.certРазбираем основные флаги:
req: Команда для обработки запросов на сертификат и генерации самоподписанных сертификатов.-nodes: Означает "Not DES", что говорит о том, что ключ не должен быть зашифрован.-new: Создать новый сертификат.-x509: Создать самоподписанный сертификат.-keyout server.key: Файл, куда будет записан приватный ключ.-out server.cert: Файл, куда будет записан самоподписанный сертификат.
Таким образом, вышеупомянутая команда создаст приватный ключ и самоподписанный сертификат без защиты паролем, используя OpenSSL.
Применение
В контексте автоматизированных процессов или тестовых сред, отсутствие необходимости повторного ввода парольной фразы может значительно упростить рабочий процесс. Например, при автоматическом деплое проектов, запуске тестов или подготовке окружения для разработчиков. При использовании описанных выше настроек, вы можете интегрировать процесс генерации ключей в скрипты автоматизации.
Важно отметить, что использовать приватные ключи без парольной фразы в продакшене не рекомендуется из-за отсутствия дополнительной защиты. Это может сделать ваши сети и сервисы более подверженными рискам в случае компрометации данных.
В итоге, генерация RSA ключей без парольной фразы — это мощный инструмент для упрощения работы в тестовых и автоматизированных средах, если использовать его с учетом всех возможных рисков. Не забывайте, что интерфейс OpenSSL предоставляет гибкость, необходимую для управления сертификатами и ключами в соответствии с вашими требованиями.