Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
NoPassphrase with credstash
Search
YouYou
July 23, 2020
Technology
0
1.1k
NoPassphrase with credstash
SSL秘密鍵のパスフレーズを暗号化して外部からパスフレーズを呼び出せるようにした。
YouYou
July 23, 2020
Tweet
Share
More Decks by YouYou
See All by YouYou
AWSマネコンに複数のアカウントで入れるようになりました
yuhta28
2
220
今インフラ技術をイチから学び直すなら
yuhta28
1
240
AWSに詳しくない人でも始められるコスト最適化ガイド
yuhta28
3
620
Datadog外形監視基盤をEC2から ECSへ移行してみた
yuhta28
0
1.6k
アウトプット頑張ったら企業からLT登壇の依頼がきた話
yuhta28
1
1.5k
小さなことから始めるAWSコスト最適入門
yuhta28
1
1.2k
Datadogのコストも監視しよう
yuhta28
1
960
Rcloneを使った定期的なストレージ同期
yuhta28
0
730
Pulumiを触ってみよう
yuhta28
1
2.5k
Other Decks in Technology
See All in Technology
「魔法少女まどか☆マギカ Magia Exedra」の必殺技演出を徹底解剖! -キャラクターの魅力を最大限にファンに届けるためのこだわり-
gree_tech
PRO
0
500
エニグモ_会社紹介資料(エンジニア職種向け).pdf
enigmo_hr
0
2.2k
絶対に失敗できないキャンペーンページの高速かつ安全な開発、WINTICKET × microCMS の開発事例
microcms
0
390
Language Update: Java
skrb
2
240
衝突して強くなる! BLUE GIANTと アジャイルチームの共通点とは ― いきいきと活気に満ちたグルーヴあるチームを作るコツ ― / BLUE GIANT and Agile Teams
naitosatoshi
0
300
AIのグローバルトレンド2025 #scrummikawa / global ai trend
kyonmm
PRO
1
210
Oracle Cloud Infrastructure:2025年8月度サービス・アップデート
oracle4engineer
PRO
0
190
Nstockの一人目エンジニアが 3年間かけて向き合ってきた セキュリティのこととこれから〜あれから半年〜
yo41sawada
0
200
研究開発と製品開発、両利きのロボティクス
youtalk
1
380
iPhone Eye Tracking機能から学ぶやさしいアクセシビリティ
fujiyamaorange
0
540
TypeScript入門
recruitengineers
PRO
35
12k
バッチ処理で悩むバックエンドエンジニアに捧げるAWS Glue入門
diggymo
3
110
Featured
See All Featured
4 Signs Your Business is Dying
shpigford
184
22k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
36
2.5k
Facilitating Awesome Meetings
lara
55
6.5k
Site-Speed That Sticks
csswizardry
10
810
Building Applications with DynamoDB
mza
96
6.6k
Mobile First: as difficult as doing things right
swwweet
224
9.9k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
61k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.9k
Being A Developer After 40
akosma
90
590k
[RailsConf 2023] Rails as a piece of cake
palkan
56
5.8k
Building Flexible Design Systems
yeseniaperezcruz
328
39k
A Modern Web Designer's Workflow
chriscoyier
696
190k
Transcript
CredStashでSSLのパスフレーズ 問い合わせを無視してみた
目次 • 自己紹介 • 概要 • 問題点 • CredStashとKMSについて •
実装 • おまけ • まとめ
自己紹介 Name:ユータ Occupation:SRE Twitter:@Y0u281 ※(オーでなくゼロです) note:https://note.com/tar28 →Qrunchに移行 https://yuta0128.qrunch.io/
概要 秘密鍵にパスフレーズが設定されているとApache再起動時に、 毎回パスフレーズを聞かれる 対応策でよく紹介されているのは以下2つ • 秘密鍵のパスフレーズを解除 • SSLPassPhraseDialogというディレクティブからパスフレーズを呼ぶ Passphrase.sh →
echo “passphrase” デモ有
問題点 サーバ内の秘密鍵が丸見え or パスフレーズを平文で保存してしまう
CredStash AWS KMS パスフレーズを暗号化して 外部に保存すればいい
CredStashとAWS KMSについて CredStash • 認証情報の共有管理システム • DynamoDBへ鍵を保存する • Python製のコマンドツール ◦
GoやRubyの亜種もあるらしい AWS KMS • 暗号鍵の生成、管理ができるフルマ ネージド型サービス
実装
None
DynamoDBテーブルからパスフレーズを 呼び出している SSLPassPhraseDialogでこのスクリプト を指定 デモ有
再起動時にパスフレーズを聞かれること なく起動できた。
おまけ Nginxではどうすればいいのか? →ssl_password_fileというディレクティブがありま す 記法がApacheと異なるので注意! • exec:をつけない • 最後にセミコロン必須
認証情報は隠す まとめ
より詳しい内容はこちらのQiita記 事を御覧ください。 credstashを用いてApacheのSSL秘密鍵のパスフレーズ問い合わせ無視できるようにしてみた https://qiita.com/Yuhta/items/647c3a11175e59ff7fc2
ご静聴 ありがとうございました