Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up for free
NoPassphrase with credstash
YouYou
July 23, 2020
Technology
0
370
NoPassphrase with credstash
SSL秘密鍵のパスフレーズを暗号化して外部からパスフレーズを呼び出せるようにした。
YouYou
July 23, 2020
Tweet
Share
More Decks by YouYou
See All by YouYou
dev.toの記事もGitHubで管理してみた
yuhta28
0
13
Repographyでいい感じにGitコミットを視覚化してみた
yuhta28
1
240
IaCのCI_CDを実現するSpaceliftを触ってみた
yuhta28
0
290
既存インフラをコード化する時に気を付けること
yuhta28
1
1.9k
PythonではなくRcloneで アップロードしてみた
yuhta28
0
660
IAMロールでTerraformのCI/CDを構築してみた
yuhta28
0
1.4k
Instance Schedulerを使ってEC2の稼働時間を管理してみた
yuhta28
0
1k
EC2のキーペア置換に気を付けよう
yuhta28
0
890
いい感じにCLWをtailしてみる
yuhta28
0
310
Other Decks in Technology
See All in Technology
New Features in C# 10/11
chack411
0
720
220428event_matsuda_part
caddi_eng
0
240
msal.jsのあれこれ
takas0522
0
1.4k
⚡Lightdashを試してみた
k_data_analyst
0
140
THETA Xの登場はジオ業界を変えるか?
furuhashilab
0
160
~スタートアップの人たちに捧ぐ~ 監視再入門 in AWS
track3jyo
PRO
30
8.5k
OSINT/GEOINT ワークショップ 20220514 古橋資料
furuhashilab
2
250
アルプの 認証/認可分離戦略と手法
ma2k8
PRO
1
110
#BabylonJS5 の祭ツイートまとめ Let's take a look at what people create with the latest #BabylonJS5
chomado
0
710
Babylon.jsで3DViewerを作ってみた!!!
iwaken71
0
840
LINEのData Platform室が実践する大規模分散環境のCapacity Planning
line_developers
PRO
0
250
読者のことを考えて書いてみよう / Write with your reader in mind
line_developers
PRO
3
290
Featured
See All Featured
Statistics for Hackers
jakevdp
781
210k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
151
12k
Building an army of robots
kneath
299
40k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
212
20k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
37
3.2k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
19
1.4k
WebSockets: Embracing the real-time Web
robhawkes
57
5k
Fashionably flexible responsive web design (full day workshop)
malarkey
396
62k
4 Signs Your Business is Dying
shpigford
169
20k
Designing Experiences People Love
moore
130
22k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
12
890
Mobile First: as difficult as doing things right
swwweet
212
7.5k
Transcript
CredStashでSSLのパスフレーズ 問い合わせを無視してみた
目次 • 自己紹介 • 概要 • 問題点 • CredStashとKMSについて •
実装 • おまけ • まとめ
自己紹介 Name:ユータ Occupation:SRE Twitter:@Y0u281 ※(オーでなくゼロです) note:https://note.com/tar28 →Qrunchに移行 https://yuta0128.qrunch.io/
概要 秘密鍵にパスフレーズが設定されているとApache再起動時に、 毎回パスフレーズを聞かれる 対応策でよく紹介されているのは以下2つ • 秘密鍵のパスフレーズを解除 • SSLPassPhraseDialogというディレクティブからパスフレーズを呼ぶ Passphrase.sh →
echo “passphrase” デモ有
問題点 サーバ内の秘密鍵が丸見え or パスフレーズを平文で保存してしまう
CredStash AWS KMS パスフレーズを暗号化して 外部に保存すればいい
CredStashとAWS KMSについて CredStash • 認証情報の共有管理システム • DynamoDBへ鍵を保存する • Python製のコマンドツール ◦
GoやRubyの亜種もあるらしい AWS KMS • 暗号鍵の生成、管理ができるフルマ ネージド型サービス
実装
None
DynamoDBテーブルからパスフレーズを 呼び出している SSLPassPhraseDialogでこのスクリプト を指定 デモ有
再起動時にパスフレーズを聞かれること なく起動できた。
おまけ Nginxではどうすればいいのか? →ssl_password_fileというディレクティブがありま す 記法がApacheと異なるので注意! • exec:をつけない • 最後にセミコロン必須
認証情報は隠す まとめ
より詳しい内容はこちらのQiita記 事を御覧ください。 credstashを用いてApacheのSSL秘密鍵のパスフレーズ問い合わせ無視できるようにしてみた https://qiita.com/Yuhta/items/647c3a11175e59ff7fc2
ご静聴 ありがとうございました