Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
NoPassphrase with credstash
Search
YouYou
July 23, 2020
Technology
0
1k
NoPassphrase with credstash
SSL秘密鍵のパスフレーズを暗号化して外部からパスフレーズを呼び出せるようにした。
YouYou
July 23, 2020
Tweet
Share
More Decks by YouYou
See All by YouYou
AWSマネコンに複数のアカウントで入れるようになりました
yuhta28
2
160
今インフラ技術をイチから学び直すなら
yuhta28
1
200
AWSに詳しくない人でも始められるコスト最適化ガイド
yuhta28
3
580
Datadog外形監視基盤をEC2から ECSへ移行してみた
yuhta28
0
1.5k
アウトプット頑張ったら企業からLT登壇の依頼がきた話
yuhta28
1
1.4k
小さなことから始めるAWSコスト最適入門
yuhta28
1
1.1k
Datadogのコストも監視しよう
yuhta28
1
870
Rcloneを使った定期的なストレージ同期
yuhta28
0
620
Pulumiを触ってみよう
yuhta28
1
2.2k
Other Decks in Technology
See All in Technology
速くて安いWebサイトを作る
nishiharatsubasa
14
15k
Perlの生きのこり - エンジニアがこの先生きのこるためのカンファレンス2025
kfly8
1
220
ホワイトボードチャレンジ 説明&実行資料
ichimichi
0
130
あれは良かった、あれは苦労したB2B2C型SaaSの新規開発におけるCloud Spanner
hirohito1108
2
790
Active Directory攻防
cryptopeg
PRO
7
4.5k
Oracle Cloud Infrastructure:2025年2月度サービス・アップデート
oracle4engineer
PRO
1
350
(機械学習システムでも) SLO から始める信頼性構築 - ゆる SRE#9 2025/02/21
daigo0927
0
210
脳波を用いた嗜好マッチングシステム
hokkey621
0
180
【詳説】コンテンツ配信 システムの複数機能 基盤への拡張
hatena
0
130
ビジネスモデリング道場 目的と背景
masuda220
PRO
9
670
php-conference-nagoya-2025
fuwasegu
0
110
プロダクトエンジニア構想を立ち上げ、プロダクト志向な組織への成長を続けている話 / grow into a product-oriented organization
hiro_torii
1
300
Featured
See All Featured
Six Lessons from altMBA
skipperchong
27
3.6k
Being A Developer After 40
akosma
89
590k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
40
2k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.4k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
46
2.3k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
7
630
How STYLIGHT went responsive
nonsquared
98
5.4k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
Writing Fast Ruby
sferik
628
61k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2.1k
Transcript
CredStashでSSLのパスフレーズ 問い合わせを無視してみた
目次 • 自己紹介 • 概要 • 問題点 • CredStashとKMSについて •
実装 • おまけ • まとめ
自己紹介 Name:ユータ Occupation:SRE Twitter:@Y0u281 ※(オーでなくゼロです) note:https://note.com/tar28 →Qrunchに移行 https://yuta0128.qrunch.io/
概要 秘密鍵にパスフレーズが設定されているとApache再起動時に、 毎回パスフレーズを聞かれる 対応策でよく紹介されているのは以下2つ • 秘密鍵のパスフレーズを解除 • SSLPassPhraseDialogというディレクティブからパスフレーズを呼ぶ Passphrase.sh →
echo “passphrase” デモ有
問題点 サーバ内の秘密鍵が丸見え or パスフレーズを平文で保存してしまう
CredStash AWS KMS パスフレーズを暗号化して 外部に保存すればいい
CredStashとAWS KMSについて CredStash • 認証情報の共有管理システム • DynamoDBへ鍵を保存する • Python製のコマンドツール ◦
GoやRubyの亜種もあるらしい AWS KMS • 暗号鍵の生成、管理ができるフルマ ネージド型サービス
実装
None
DynamoDBテーブルからパスフレーズを 呼び出している SSLPassPhraseDialogでこのスクリプト を指定 デモ有
再起動時にパスフレーズを聞かれること なく起動できた。
おまけ Nginxではどうすればいいのか? →ssl_password_fileというディレクティブがありま す 記法がApacheと異なるので注意! • exec:をつけない • 最後にセミコロン必須
認証情報は隠す まとめ
より詳しい内容はこちらのQiita記 事を御覧ください。 credstashを用いてApacheのSSL秘密鍵のパスフレーズ問い合わせ無視できるようにしてみた https://qiita.com/Yuhta/items/647c3a11175e59ff7fc2
ご静聴 ありがとうございました