Mai toata literatura de specialitate care trateaza problema certificatelor SSL pentru serverele Apache recomanda folosirea certificatelor fara parola. Motivul? Pentru ca de fiecare data cind serverul trebuie restartat este nevoie sa se introduca parola pentru certifcate. 😀

Dar de la versiunea 2.1 mod_ssl a implementat optiunea exec pentru „SSLPassPhraseDialog”.Aceasta optiune accepta ca argument calea catre un script care nu faca altceva decit sa scrie parola in <stdout>.

Exemplu:
SSLPassPhraseDialog exec:/etc/httpd/conf.d/echo_passwd.sh

Serverul in sine va furniza 2 argumente acestui script. Primule este combinatia servarename:port si al doilea este tipul de certificat RSA sau DSA. De ce este important?
In cazul in care se ruleaza scenariul Apache in configuratia multihost se pot folosi diferite parole pentru diferite certificate. Cum arata un asemenea script?

#!/bin/sh
case "$1" in
localhost.localdomain*)
echo "Par0lamea"
;;
esac

Acest fisier trebuie bineinteles protejat:

sudo chown root:root echo_password/etc/httpd/conf.d/echo_password.sh
sudo chmod 500 echo_password.sh/etc/httpd/conf.d/echo_password.sh

In cazul distribuitiei Fedora unde Selinux este funtional, este necesar schimbare contextului de securitate:

sudo chcon -h -t httpd_exec_t /etc/httpd/conf.d/echo_passwd.sh

So, let’s do thinks better.

Anunțuri