Upgrade to Pro — share decks privately, control downloads, hide ads and more …

NoPassphrase with credstash

YouYou
July 23, 2020
Technology
0
970

NoPassphrase with credstash

SSL秘密鍵のパスフレーズを暗号化して外部からパスフレーズを呼び出せるようにした。

YouYou

July 23, 2020
Tweet

More Decks by YouYou

See All by YouYou
今インフラ技術をイチから学び直すなら
yuhta28
1
170
AWSに詳しくない人でも始められるコスト最適化ガイド
yuhta28
3
550
Datadog外形監視基盤をEC2から ECSへ移行してみた
yuhta28
0
1.5k
アウトプット頑張ったら企業からLT登壇の依頼がきた話
yuhta28
1
1.2k
小さなことから始めるAWSコスト最適入門
yuhta28
1
980
Datadogのコストも監視しよう
yuhta28
1
790
Rcloneを使った定期的なストレージ同期
yuhta28
0
540
Pulumiを触ってみよう
yuhta28
1
2.1k
ログストレージコスパ最強!?OpenObserveを試してみた
yuhta28
0
3.4k

Other Decks in Technology

See All in Technology
B2B SaaSから見た最近のC#/.NETの進化
sansantech
PRO
0
780
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
250
iOSチームとAndroidチームでブランチ運用が違ったので整理してます
sansantech
PRO
0
130
Python(PYNQ)がテーマのAMD主催のFPGAコンテストに参加してきた
iotengineer22
0
470
組織成長を加速させるオンボーディングの取り組み
sudoakiy
2
110
個人でもIAM Identity Centerを使おう!(アクセス管理編)
ryder472
3
200
第1回 国土交通省 データコンペ参加者向け勉強会③ - Snowflake x estie編 -
estie
0
130
DMARC 対応の話 - MIXI CTO オフィスアワー #04
bbqallstars
1
160
Engineer Career Talk
lycorp_recruit_jp
0
170
Amplify Gen2 Deep Dive / バックエンドの型をいかにしてフロントエンドへ伝えるか #TSKaigi #TSKaigiKansai #AWSAmplifyJP
tacck
PRO
0
380
ノーコードデータ分析ツールで体験する時系列データ分析超入門
negi111111
0
410
The Role of Developer Relations in AI Product Success.
giftojabu1
0
120

Featured

See All Featured
A Philosophy of Restraint
colly
203
16k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.8k
Raft: Consensus for Rubyists
vanstee
136
6.6k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
Speed Design
sergeychernyshev
25
620
A Modern Web Designer's Workflow
chriscoyier
693
190k
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
A Tale of Four Properties
chriscoyier
156
23k
Documentation Writing (for coders)
carmenintech
65
4.4k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
0
89
Gamification - CAS2011
davidbonilla
80
5k

Transcript

  1. CredStashでSSLのパスフレーズ 問い合わせを無視してみた

  2. 目次 • 自己紹介 • 概要 • 問題点 • CredStashとKMSについて •

    実装 • おまけ • まとめ

  3. 自己紹介 Name:ユータ Occupation:SRE Twitter:@Y0u281 ※(オーでなくゼロです) note:https://note.com/tar28 →Qrunchに移行 https://yuta0128.qrunch.io/

  4. 概要 秘密鍵にパスフレーズが設定されているとApache再起動時に、 毎回パスフレーズを聞かれる 対応策でよく紹介されているのは以下2つ • 秘密鍵のパスフレーズを解除 • SSLPassPhraseDialogというディレクティブからパスフレーズを呼ぶ Passphrase.sh →

    echo “passphrase” デモ有

  5. 問題点
 サーバ内の秘密鍵が丸見え or パスフレーズを平文で保存してしまう

  6. CredStash AWS KMS パスフレーズを暗号化して 外部に保存すればいい


  7. CredStashとAWS KMSについて CredStash • 認証情報の共有管理システム • DynamoDBへ鍵を保存する • Python製のコマンドツール ◦

    GoやRubyの亜種もあるらしい AWS KMS
 • 暗号鍵の生成、管理ができるフルマ ネージド型サービス 


  8. 実装

  9. None

  10. DynamoDBテーブルからパスフレーズを 呼び出している SSLPassPhraseDialogでこのスクリプト を指定 デモ有

  11. 再起動時にパスフレーズを聞かれること なく起動できた。

  12. おまけ Nginxではどうすればいいのか? →ssl_password_fileというディレクティブがありま す 記法がApacheと異なるので注意! • exec:をつけない • 最後にセミコロン必須

  13. 認証情報は隠す まとめ

  14. より詳しい内容はこちらのQiita記 事を御覧ください。 credstashを用いてApacheのSSL秘密鍵のパスフレーズ問い合わせ無視できるようにしてみた https://qiita.com/Yuhta/items/647c3a11175e59ff7fc2

  15. ご静聴 ありがとうございました